» »

Apache2: suphp vs suexec vs mpm-itk

Apache2: suphp vs suexec vs mpm-itk

levaky ::

LP!

Na strežniku sem postavil nekaj strani za kolege. Večina jih je v phpju in nekateri direktoriji in datoteke morajo biti v lasti www-data userja. To pa pomeni, da jih uporabniki ne morajo spreminjati oz. morajo imeti 777 pravice, kar pa mi ne diši.

Kolikor gledam, mi edino ostane možnost, da grem na enega od zgoraj omenjenih "sistemov". Kolikor sem na hitro pogledal, za suphp ni potrebno ponovno prevajati apache(se dobi paketek), prav tako pa je po benchmarkih sodeč hitrejši od suexec. Še boljša izbira je mpm-itk, vendar pri opisu paketa v debianu piše, da je zadeva "highly experimental" in da je ne priporočajo. Ima kdo izkušnje z tem paketom oz. načinom delovanja? Hitrost tega načina naj bi bila višja v primerjavi z suphp in suexec, prav tako pa naj bi s seboj prinesla še vse bonbončke, ki jih omogoča mod_php.

Predvsem me zanima, ali je mpm-itk dovolj stabilen za "produkcijski" strežnik, ali naj rajši izberem suPHP?

lp, Matej

Brane2 ::

Jaz ga laufam. Zaenkrat brez problema.
On the journey of life, I chose the psycho path.

trnvpeti ::

imas safe_mode?
imas mode_security?
imas izklopljeno system() in druge ukaze v php.ini?

levaky ::

trnvpeti:
Safe_mode je Off
Mode_security ali mod_security? Moram reči, da ne poznam nobenega(če sta to kakšna dodatka).
Trenutno imam izklopljene naslednje funkcije: show_source, system, shell_exec, passthru, popen, proc_open, phpinfo

Brane2: Koliko imaš obremenjen strežnik? Kakšni večji portali? Pri meni je mesečno cca 40 000 obiska, od tega je večino joomle, ki je precej požrešna stvar.

lp, Matej

Zgodovina sprememb…

  • spremenil: levaky ()

trnvpeti ::

mod_security
http://www.modsecurity.org/

kaj cakas z safe_mod
lahko izvaja samo lastnik direktorija, drugace je full nevarno (se to je nevarno)
bo nekdo uploadal kodo na 777 direktorij, pa se izvedel jo bo kot apache user
pol pa ni vec dalec do root

Zgodovina sprememb…

  • spremenil: trnvpeti ()

levaky ::

trnvpeti:
Tole modsecurity si bom malo ogledal

Kaj točno naredi safe_mode? Če je lastnik direktorija levak, jaz pa notri uploadam en file, se bo ta file izvedel pod uporabnikom levak ali apache? Ali Safe_mode samo preveri, ali je lastnik direktorija in datoteke enak in izvede skripto?

Ravno zaradi tega, kar si ti omenil, bi rad šel na mpm-itk.

lp, Matej

trnvpeti ::

levaky ::

Se pravi, tako na hitro, je tale safe_mode enako kot apache2-mpm-itk. Razlika je, da safe_mode deluje samo na ravni phpja, medtem ko mpm-itk poganja celoten vhost kot določen user?

Kje je večji performance lost? Kje je večja varnost? Kako je z skriptami? Ali kaj komplicirajo, če imaš safe_mode on?

lp, Matej

Brane2 ::

Po moje je itk bolj varen.

Safe mode je bolj arbitraren- stvar se obveže, da ne bo pognala php programa, ki ne pripada userju, pod katerim laufa server.

Kar spet ne pomeni nič, če ti rata fajlu spremeniti dovoljenja ali lastnika. Poleg tega pa mpm-itk laufa vsak virtualni strežnik v celoti pod samostojnim userjem. Tudi če ga kdo sesuje, bo lahko kvečjemu dosegela samo to, kar je dosegljivo temu userju.

Če imaš torej strogo zategnjena dovoljenja dostopa in vsak strežnik pod svojim userjem, bo škoda manjša...
On the journey of life, I chose the psycho path.

Zgodovina sprememb…

  • spremenil: Brane2 ()

levaky ::

Kolikor berem komentarje na povezavi, ki jo je podal trnvpeti, se mi vedno bolj zdi, da to ni to kar iščem. Sploh ne glede na uporabo phpBBja, joomle in podobnih zadev, kjer se pogosto kreirajo tudi novi direktoriji in datoteke.

Očitno je safe_mde bolj izhod v sili.

lp, Matej

levaky ::

Brane2: tako nekako tudi jaz vidim stvar.

Na enem strežniku imam naložen suPHP, ki svoje delo sicer opravlja odlično, vendar je problem v performancu, ki je v primerjavi z mod_php porazen! Logično, saj mora za vsak page poznati php binary. Večino časa vzame inicializacija programa, sama stran pa je zgenerirana precej hitro.

Bom naložil tale mpm-itk pa bomo malo potestiral. Ni druge:)

lp, Matej

c3p0 ::

Ali pa mod_fastcgi. mod_suphp performanse zniža za velik faktor in ga sam ne priporočam.

levaky ::

Gledal sem tudi mod_fastcgi, ampak sem se na koncu odločil poizkusiti mpm-itk. Stvar je bila urejena v 10min in zaenkrat dela vse A OK.

lp, Matej

Enter4 ::

Pozdravljeni!

Tudi jaz sem si zaželel:P tale "paket" mpm-itk vendar ko sem v VHost vnesel AssignUserID mi je ob ponovnem zagonu apacheja javilo: Invalid command 'AssignUserID', perhaps mis-spelled or defined by a module not included in the server configuration.

mogoče veste kateri modul bi moral includat v apache?
Apache sem pa namestil nekako takole:
cd /usr/ports/www/apache20
make WITH_MPM=itk
make install clean

Že v naprej hvala,
Urban Žan

Zgodovina sprememb…

  • spremenil: Enter4 ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Težave z grafičnimi gonilniki

Oddelek: Zvok in slika
71022 (959) Clubraider
»

sql injection [PHP + mysql]

Oddelek: Informacijska varnost
111844 (1569) Lion29
»

win7 problem

Oddelek: Operacijski sistemi
5725 (686) Hexx
»

Avtomatski ponovni zagon

Oddelek: Pomoč in nasveti
71602 (1086) ender
»

Računalnik zmrzne pri nalaganju XP-jev

Oddelek: Operacijski sistemi
51073 (1037) karafeka

Več podobnih tem