Portál AbcLinuxu, 10. května 2025 01:58

Dotaz: fastcgi + php_value

Tombik avatar 14.12.2011 11:46 Tombik | skóre: 12
fastcgi + php_value
Přečteno: 593×
Odpovědět | Admin
Zdravim,

mam CentOS 6.0 server s Apache 2.2 a PHP 5.3. Pouzivam mod_fastcgi. Mohol by som teoreticky pouzivat aj iny, ale potrebujem taky, aby mi tam fungovalo suExec, kedze tam mam viacej uzivatelov a kazdy ma svoj web je to tak bezpecnejsie. Navyse to potrebujem kvoli monitoringu, aby som videl kolko mi tam ktory uzivatel berie z CPU a RAM.

Uzivatelia by radi pouzivali .htaccess php_value a php_flag, ale toto podporuje len mod_php, ktory nemozem pouzit, lebo tam zas nefunguje suExec. Napadlo ma, ze by som dal k dispozicii uzivatelom ich vlastne php.ini, aby si tam mohli editovat hodnoty ake potrebuju. Nie je to nebezpecne? Da sa nejako rozbehat php_value cez .htaccess aj pod mod_fastcgi pripadne pod inym modom podporujucim suExec??? Alebo je mozno nejakym trikom rozbehat suExec pod mod_php?

Dakujem
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

Jakub Lucký avatar 14.12.2011 14:05 Jakub Lucký | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: fastcgi + php_value
Odpovědět | | Sbalit | Link | Blokovat | Admin
ad 1) existuje varianta spojení suexec a mod_php, jmenuje se to mod_suphp... když jsem to zkoušel, měl jsem hodně slabou zkušenost s výkonem

ad 2) vlastní php.ini per-domain je nebezpečné asi tak, jako dát každému uživateli uživatelský shell... A podle toho si ošetřete bezpečnost
If you understand, things are just as they are; if you do not understand, things are just as they are.
Tombik avatar 14.12.2011 14:14 Tombik | skóre: 12
Rozbalit Rozbalit vše Re: fastcgi + php_value
Dakujem, vyskusam mod_suphp.

Ak by mal este niekto nejaky iny napad tak budem rad ak mi poradi :)
Tombik avatar 14.12.2011 14:54 Tombik | skóre: 12
Rozbalit Rozbalit vše Re: fastcgi + php_value
Uspesne som to prehodil na mod_suphp ale php_value v .htaccess stal nefunguje.

Invalid command 'php_value', perhaps misspelled or defined by a module not included in the server configuration

napriklad aj tu http://support.tigertech.net/php-value som sa docital, ze php_value funguje len pod mod_php.

Neviete o nejakom inom rieseni?
Jakub Lucký avatar 14.12.2011 21:45 Jakub Lucký | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: fastcgi + php_value
Aha, tak to se omlouvám, nevěděl jsem, že suphp to neumí... Já jsem na hledání alternativy rezignoval, když jsem zjistil, že si s tím neporadil ani Onebit... (resp. nabízím php.ini)
If you understand, things are just as they are; if you do not understand, things are just as they are.
14.12.2011 22:04 vasek
Rozbalit Rozbalit vše Re: fastcgi + php_value
Odpovědět | | Sbalit | Link | Blokovat | Admin
Určitě by šlo fastcgi skriptu spouštějícímu php interpret předhazovat uživatelský php.ini příp. si vyrobit nějaký parser .htaccess souborů a tyto hodnoty předávat interpretu jako -d parametr=hodnota.
Tombik avatar 16.12.2011 14:22 Tombik | skóre: 12
Rozbalit Rozbalit vše Re: fastcgi + php_value
Zdravim,

dakujem za odpoved, znie to ako celkom dobry napad. Zatial si to nechavam ako plan B, lebo mi to riesenie pride ako cestovat z Prahy do Londyna cez Moskvu ak mi rozumiete ;).

Musi predsa existovat i nejake ine riesenie.

S pozdravom.
Tombik avatar 20.12.2011 12:21 Tombik | skóre: 12
Rozbalit Rozbalit vše Re: fastcgi + php_value
Odpovědět | | Sbalit | Link | Blokovat | Admin
Nikoho uz nic nepada? Nejako to musi fungovat viem na 100%, ze v istej nemenovanej spolocnosti to presne takto funguje.
20.12.2011 15:11 core
Rozbalit Rozbalit vše Re: fastcgi + php_value
Odpovědět | | Sbalit | Link | Blokovat | Admin
mozna apache MPM ITK nebo peruser?
20.12.2011 15:55 sigma
Rozbalit Rozbalit vše Re: fastcgi + php_value
Odpovědět | | Sbalit | Link | Blokovat | Admin
Uzivatelia by radi pouzivali .htaccess php_value a php_flag, ale toto podporuje len mod_php, ktory nemozem pouzit, lebo tam zas nefunguje suExec. Napadlo ma, ze by som dal k dispozicii uzivatelom ich vlastne php.ini, aby si tam mohli editovat hodnoty ake potrebuju. Nie je to nebezpecne?
Od PHP 5.3.0 máme per-user config. Nebezpečné to nutně není, uživatel může měnit jen omezenou množinu parametrů -- vše je v dokumentaci, zdá se že může měnit +- to samé jako přes php_value u mod_php.

U fastcgi+suexec se stejně používá exec wrapper, a v něm je možné nastavit konfiguraci PHP libovolně (cesta ke configu, přepsání parametrů jednotlivě). To se hodí, pokud mají být specifické parametry pro celý virtualhost. Pokud by měly být v různých složkách jinak, už by bylo potřeba pro ně udšlat i vlastní fastcgi handlery, a celé se to komplikuje.
Tombik avatar 20.12.2011 19:13 Tombik | skóre: 12
Rozbalit Rozbalit vše Re: fastcgi + php_value
Dakujem, pozriem sa na ten per-user config. Podla toho co som o tom cital by to malo riesit moj problem. Asi zajtra to otestujem.

Ja mam pre kazdeho usera vlastny fastcgi handler aj vlastne php.ini. Chcem ale, aby mali i moznost si niektore nastavenia menit samy bez nutnosti pristupu k ich vlastnemu php.ini.

Dakujem, vyskusam.
Max avatar 21.12.2011 07:38 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: fastcgi + php_value
Odpovědět | | Sbalit | Link | Blokovat | Admin
Jak už bylo řečeno, s fastcgi+suexec lze definovat pro každou doménu vlastní php.ini. Definuje se ve wraper scriptu, který se spouští, viz : 
#!/bin/sh
PHPRC=/var/www/php-fcgi-scripts/devaine.cz/php5
export PHPRC
export PHP_FCGI_MAX_REQUESTS=5000
export PHP_FCGI_CHILDREN=8
exec /usr/lib/cgi-bin/php
Zde je vidět, že je php.ini conf. soubor a spol. pro zmíněnou doménu zde "/var/www/php-fcgi-scripts/devaine.cz/php5/php.ini"

Další možností je použít MPM peruser a vykašlat se na fastcgi a spol.
Zdar Max
Měl jsem sen ... :(

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.