Forum » Omrežja in internet » Apache2: suphp vs suexec vs mpm-itk
Apache2: suphp vs suexec vs mpm-itk
levaky ::
LP!
Na strežniku sem postavil nekaj strani za kolege. Večina jih je v phpju in nekateri direktoriji in datoteke morajo biti v lasti www-data userja. To pa pomeni, da jih uporabniki ne morajo spreminjati oz. morajo imeti 777 pravice, kar pa mi ne diši.
Kolikor gledam, mi edino ostane možnost, da grem na enega od zgoraj omenjenih "sistemov". Kolikor sem na hitro pogledal, za suphp ni potrebno ponovno prevajati apache(se dobi paketek), prav tako pa je po benchmarkih sodeč hitrejši od suexec. Še boljša izbira je mpm-itk, vendar pri opisu paketa v debianu piše, da je zadeva "highly experimental" in da je ne priporočajo. Ima kdo izkušnje z tem paketom oz. načinom delovanja? Hitrost tega načina naj bi bila višja v primerjavi z suphp in suexec, prav tako pa naj bi s seboj prinesla še vse bonbončke, ki jih omogoča mod_php.
Predvsem me zanima, ali je mpm-itk dovolj stabilen za "produkcijski" strežnik, ali naj rajši izberem suPHP?
lp, Matej
Na strežniku sem postavil nekaj strani za kolege. Večina jih je v phpju in nekateri direktoriji in datoteke morajo biti v lasti www-data userja. To pa pomeni, da jih uporabniki ne morajo spreminjati oz. morajo imeti 777 pravice, kar pa mi ne diši.
Kolikor gledam, mi edino ostane možnost, da grem na enega od zgoraj omenjenih "sistemov". Kolikor sem na hitro pogledal, za suphp ni potrebno ponovno prevajati apache(se dobi paketek), prav tako pa je po benchmarkih sodeč hitrejši od suexec. Še boljša izbira je mpm-itk, vendar pri opisu paketa v debianu piše, da je zadeva "highly experimental" in da je ne priporočajo. Ima kdo izkušnje z tem paketom oz. načinom delovanja? Hitrost tega načina naj bi bila višja v primerjavi z suphp in suexec, prav tako pa naj bi s seboj prinesla še vse bonbončke, ki jih omogoča mod_php.
Predvsem me zanima, ali je mpm-itk dovolj stabilen za "produkcijski" strežnik, ali naj rajši izberem suPHP?
lp, Matej
levaky ::
trnvpeti:
Safe_mode je Off
Mode_security ali mod_security? Moram reči, da ne poznam nobenega(če sta to kakšna dodatka).
Trenutno imam izklopljene naslednje funkcije: show_source, system, shell_exec, passthru, popen, proc_open, phpinfo
Brane2: Koliko imaš obremenjen strežnik? Kakšni večji portali? Pri meni je mesečno cca 40 000 obiska, od tega je večino joomle, ki je precej požrešna stvar.
lp, Matej
Safe_mode je Off
Mode_security ali mod_security? Moram reči, da ne poznam nobenega(če sta to kakšna dodatka).
Trenutno imam izklopljene naslednje funkcije: show_source, system, shell_exec, passthru, popen, proc_open, phpinfo
Brane2: Koliko imaš obremenjen strežnik? Kakšni večji portali? Pri meni je mesečno cca 40 000 obiska, od tega je večino joomle, ki je precej požrešna stvar.
lp, Matej
Zgodovina sprememb…
- spremenil: levaky ()
trnvpeti ::
mod_security
http://www.modsecurity.org/
kaj cakas z safe_mod
lahko izvaja samo lastnik direktorija, drugace je full nevarno (se to je nevarno)
bo nekdo uploadal kodo na 777 direktorij, pa se izvedel jo bo kot apache user
pol pa ni vec dalec do root
http://www.modsecurity.org/
kaj cakas z safe_mod
lahko izvaja samo lastnik direktorija, drugace je full nevarno (se to je nevarno)
bo nekdo uploadal kodo na 777 direktorij, pa se izvedel jo bo kot apache user
pol pa ni vec dalec do root
Zgodovina sprememb…
- spremenil: trnvpeti ()
levaky ::
trnvpeti:
Tole modsecurity si bom malo ogledal
Kaj točno naredi safe_mode? Če je lastnik direktorija levak, jaz pa notri uploadam en file, se bo ta file izvedel pod uporabnikom levak ali apache? Ali Safe_mode samo preveri, ali je lastnik direktorija in datoteke enak in izvede skripto?
Ravno zaradi tega, kar si ti omenil, bi rad šel na mpm-itk.
lp, Matej
Tole modsecurity si bom malo ogledal
Kaj točno naredi safe_mode? Če je lastnik direktorija levak, jaz pa notri uploadam en file, se bo ta file izvedel pod uporabnikom levak ali apache? Ali Safe_mode samo preveri, ali je lastnik direktorija in datoteke enak in izvede skripto?
Ravno zaradi tega, kar si ti omenil, bi rad šel na mpm-itk.
lp, Matej
levaky ::
Se pravi, tako na hitro, je tale safe_mode enako kot apache2-mpm-itk. Razlika je, da safe_mode deluje samo na ravni phpja, medtem ko mpm-itk poganja celoten vhost kot določen user?
Kje je večji performance lost? Kje je večja varnost? Kako je z skriptami? Ali kaj komplicirajo, če imaš safe_mode on?
lp, Matej
Kje je večji performance lost? Kje je večja varnost? Kako je z skriptami? Ali kaj komplicirajo, če imaš safe_mode on?
lp, Matej
Brane2 ::
Po moje je itk bolj varen.
Safe mode je bolj arbitraren- stvar se obveže, da ne bo pognala php programa, ki ne pripada userju, pod katerim laufa server.
Kar spet ne pomeni nič, če ti rata fajlu spremeniti dovoljenja ali lastnika. Poleg tega pa mpm-itk laufa vsak virtualni strežnik v celoti pod samostojnim userjem. Tudi če ga kdo sesuje, bo lahko kvečjemu dosegela samo to, kar je dosegljivo temu userju.
Če imaš torej strogo zategnjena dovoljenja dostopa in vsak strežnik pod svojim userjem, bo škoda manjša...
Safe mode je bolj arbitraren- stvar se obveže, da ne bo pognala php programa, ki ne pripada userju, pod katerim laufa server.
Kar spet ne pomeni nič, če ti rata fajlu spremeniti dovoljenja ali lastnika. Poleg tega pa mpm-itk laufa vsak virtualni strežnik v celoti pod samostojnim userjem. Tudi če ga kdo sesuje, bo lahko kvečjemu dosegela samo to, kar je dosegljivo temu userju.
Če imaš torej strogo zategnjena dovoljenja dostopa in vsak strežnik pod svojim userjem, bo škoda manjša...
On the journey of life, I chose the psycho path.
Zgodovina sprememb…
- spremenil: Brane2 ()
levaky ::
Kolikor berem komentarje na povezavi, ki jo je podal trnvpeti, se mi vedno bolj zdi, da to ni to kar iščem. Sploh ne glede na uporabo phpBBja, joomle in podobnih zadev, kjer se pogosto kreirajo tudi novi direktoriji in datoteke.
Očitno je safe_mde bolj izhod v sili.
lp, Matej
Očitno je safe_mde bolj izhod v sili.
lp, Matej
levaky ::
Brane2: tako nekako tudi jaz vidim stvar.
Na enem strežniku imam naložen suPHP, ki svoje delo sicer opravlja odlično, vendar je problem v performancu, ki je v primerjavi z mod_php porazen! Logično, saj mora za vsak page poznati php binary. Večino časa vzame inicializacija programa, sama stran pa je zgenerirana precej hitro.
Bom naložil tale mpm-itk pa bomo malo potestiral. Ni druge:)
lp, Matej
Na enem strežniku imam naložen suPHP, ki svoje delo sicer opravlja odlično, vendar je problem v performancu, ki je v primerjavi z mod_php porazen! Logično, saj mora za vsak page poznati php binary. Večino časa vzame inicializacija programa, sama stran pa je zgenerirana precej hitro.
Bom naložil tale mpm-itk pa bomo malo potestiral. Ni druge:)
lp, Matej
levaky ::
Gledal sem tudi mod_fastcgi, ampak sem se na koncu odločil poizkusiti mpm-itk. Stvar je bila urejena v 10min in zaenkrat dela vse A OK.
lp, Matej
lp, Matej
Enter4 ::
Pozdravljeni!
Tudi jaz sem si zaželel:P tale "paket" mpm-itk vendar ko sem v VHost vnesel AssignUserID mi je ob ponovnem zagonu apacheja javilo: Invalid command 'AssignUserID', perhaps mis-spelled or defined by a module not included in the server configuration.
mogoče veste kateri modul bi moral includat v apache?
Apache sem pa namestil nekako takole:
cd /usr/ports/www/apache20
make WITH_MPM=itk
make install clean
Že v naprej hvala,
Urban Žan
Tudi jaz sem si zaželel:P tale "paket" mpm-itk vendar ko sem v VHost vnesel AssignUserID mi je ob ponovnem zagonu apacheja javilo: Invalid command 'AssignUserID', perhaps mis-spelled or defined by a module not included in the server configuration.
mogoče veste kateri modul bi moral includat v apache?
Apache sem pa namestil nekako takole:
cd /usr/ports/www/apache20
make WITH_MPM=itk
make install clean
Že v naprej hvala,
Urban Žan
Zgodovina sprememb…
- spremenil: Enter4 ()
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Težave z grafičnimi gonilnikiOddelek: Zvok in slika | 1022 (959) | Clubraider |
» | sql injection [PHP + mysql]Oddelek: Informacijska varnost | 1844 (1569) | Lion29 |
» | win7 problemOddelek: Operacijski sistemi | 724 (685) | Hexx |
» | Avtomatski ponovni zagonOddelek: Pomoč in nasveti | 1602 (1086) | ender |
» | Računalnik zmrzne pri nalaganju XP-jevOddelek: Operacijski sistemi | 1073 (1037) | karafeka |