FollowSymlinks σε cgi-bin directory στον Apache
George Notaras
gnot at g-loaded.eu
Fri Apr 24 16:33:40 EEST 2009
V13 wrote:
> On Thursday 23 April 2009, George Notaras wrote:
>> θα χρησιμοποιήσω το suexec για τα permissions. Thanks
>
> Exo thn entyposi pos to suexec den tha mporesei na kanei ayto akribos poy
> theleis. Se kathe periptosi, eksartatai apo to configuration soy opote
> dokimase to.
Στην προκειμένη περίπτωση, αυτό που θα ήθελα κυρίως είναι να μην μπορεί
να εκμεταλλευτεί κάποιος χρήστης το γεγονός ότι το process του apache
έχει πρόσβαση σε όλα τα home directories και έτσι να μην μπορεί να
βλέπει το περιεχόμενο αρχείων, στα οποία κανονικά δεν θα είχε πρόσβαση.
Για παράδειγμα, αν ο apache (μέσω του suexec ή του suphp κτλ) τρέχει το
script του user1 με uid/guid user1:user1, τότε το process αυτό δεν θα
μπορεί να δει αρχεία μέσα στο /home/user2/ παρόλο που ο apache έχει
κανονικά πρόσβαση. Θεωρητικά έτσι δεν είναι; Δεν το έχω δοκιμάσει ακόμα
γιατί πρέπει να κανω recompile τον apache λόγω ενός path που είναι
hardcoded στο suexec.
>
>> Επίσης, ας πάρουμε το υποθετικό σενάριο ότι υπάρχει μεγάλος αριθμός από
>> virtualhosts και ότι τα php scripts τρέχουν ώς fastcgi με την ταυτόχρονη
>> χρήση του suexec. Αν την ίδια χρονική στιγμή επισκεφτεί κανείς όλα τα
>> virtualhosts, λόγω του suexec, δεν θα τρέξουν και τόσα php-cgi processes
>> όσα είναι και τα virtualhosts που προσπελάστηκαν? Αυτό δεν προκαλεί
>> υπερβολική κατανάλωση πόρων στο server?
>
> Ayto poy theleis einai to suphp.
>
> Oson afora toys poroys, gia ayto yparxoyn gia na katanalonontai. An theleis na
> trexeis kathe script os diaforetikos xristis tote einai logiko na theleis
> toylaxiston ena process gia kathe xristi h ena process gia kathe invocation.
> Dokimaseto kai des an soy tairiazei.
Στο δικό μου setup δεν νομίζω να δημιουργήσει πρόβλημα. Κυρίως με
ενδιέφερε από περιέργεια για να δω τι συμβαίνει σε σερβερς με πολλά
vhosts. Αλλά, η ουσία είναι όντως η παραπάνω: ότι οι πόροι υπάρχουν για
να καταναλώνονται :)
More information about the Linux-greek-users
mailing list