https://www.opennet.ru/openforum/vsluhforumID3/37073.html dkLab Apache (http://dklab.ru/lib/dklab_apache/) - это дистрибутив для тех, кто собирается использовать Apache в Unix для обслуживания нескольких полностью независимых друг от друга сайтов, работающих под разными, полностью разграниченными друг от друга пользователями Unix.<br><br><br>По сути это Apache 1.3.34, на который наложены некоторые "самодельные" патчи. Вот функциональность, которую они добавляют:<br><br>- Запуск различных виртуальных хостов под различными Unix-пользователями. То, под каким пользователем работает виртуальный хост, задается в его стандартных директивах User и Group. Все скрипты, включая скрипты для mod_php, CGI и т. д., работают с правами указанного пользователя и группы и не могут получить доступ к файлам другого виртуального хоста. Долой safe_mode и проблемы с правами доступа в PHP!<br><br>- Возможность создавать виртуальные хосты по шаблону: ABC.example.com -&gt; /home/example/ABC. Вы можете ссылаться в директиве DocumentRoot на нужную часть доменного имени, например, так: /home/example/$-3+ (в дан https://www.opennet.ru/openforum/vsluhforumID3/37073.html#34 Mon, 31 Dec 2007 06:24:26 GMT &gt; Что касается виртуального хостинга - я вот тоже последние несколько лет думал,<br>&gt; что это "паровая машина", которая скоро канет в лету<br><br>все это реально, вот делают же nginxhosting.com<br> https://www.opennet.ru/openforum/vsluhforumID3/37073.html#33 Tue, 03 Apr 2007 09:12:41 GMT Я считаю, что "нафиг оно". Потому что замучаешься для chroot-а окружение готовить и потом за ним следить. В него же должны войти все утилиты хостинга - perl там, python и т.д. А разделение прав на уровне пользователей в Unix и так работает прилично, без всякого chroot-а.<br><br>Что касается виртуального хостинга - я вот тоже последние несколько лет думал, что это "паровая машина", которая скоро канет в лету (потому и не публиковал патч, в частности). Но больной все еще скорее жив, чем мертв, и в ближайшие годы я не вижу, чтобы тенденция серьезно изменилась.<br><br>По поводу разбора заголовков под рутом - там достаточно простой код в апаче, вероятность того, что за 5 лет в нем появилась уязвимость, достаточно маленькая. Так что тут просто некуда деваться - все остальные патчи и модули тоже под рутом разбирают заголовки (за исключением разве что тех, что работают через модуль ядра, но у них свои тараканы с setuid-функциями). https://www.opennet.ru/openforum/vsluhforumID3/37073.html#32 Tue, 03 Apr 2007 07:35:24 GMT &gt;Ага. И гордо демонстрирует 50x'ую ошибку - апстрим сдох<br>А нектррые, междпррочим, ещё и monit выписывают... :) https://www.opennet.ru/openforum/vsluhforumID3/37073.html#31 Tue, 03 Apr 2007 06:26:27 GMT &gt;&gt;Мда? :) Странно, был в top10 виртуальных хостеров, когда на всём хостинге <br>&gt;&gt;nginx внедрил... Он сейчас акселератором у большинства стоит. Зело полезная штука <br>&gt;&gt;на непредсказуемых нагрузках. <br>&gt;Ага. И гордо демонстрирует 50x'ую ошибку - апстрим сдох, целуйте фикус и <br>&gt;поливайте бабушку :) <br><br>Да и замечательно. Это намного лучше, чем демонстрация не имеющих художественной ценности песочных часов. Это 5xx-фобия меня всегда удивляла. Чёткая ошибка против неясного ожидания...<br> https://www.opennet.ru/openforum/vsluhforumID3/37073.html#30 Tue, 03 Apr 2007 04:20:06 GMT <br>&gt;Мда? :) Странно, был в top10 виртуальных хостеров, когда на всём хостинге <br>&gt;nginx внедрил... Он сейчас акселератором у большинства стоит. Зело полезная штука <br>&gt;на непредсказуемых нагрузках. <br><br><br>Ага. И гордо демонстрирует 50x'ую ошибку - апстрим сдох, целуйте фикус и поливайте бабушку :)<br> https://www.opennet.ru/openforum/vsluhforumID3/37073.html#29 Mon, 02 Apr 2007 19:39:11 GMT А может еще добавить что-нить вроде DocumentChroot или нафиг оно? https://www.opennet.ru/openforum/vsluhforumID3/37073.html#28 Mon, 02 Apr 2007 18:34:28 GMT причем ту давайте/ не давайте, я несколько о другом<br><br>тот child который разбирает заголовки, ищет какой это vh и делает set*id() работает под рутом. заголовки он получает от клиента, следовательно если будет ошибка в коде разбора заголовков, то потенциально удаленно можно получить рута. кстати упомянутый вами master процесс иметь от рута вполне безопасно потому что он с внешним миром никак не связал и удаленно его уронить намного сложнее.<br> https://www.opennet.ru/openforum/vsluhforumID3/37073.html#27 Mon, 02 Apr 2007 16:38:24 GMT &gt;&gt;Тоже самое с акселераторами - весь смысл keepalive на <br>&gt;&gt;уровне apache пропадает при наличии того же nginx.<br>&gt;А высказанные соображения касательно предела касаются одного apache? <br><br>Хм? Ну да. Один апач на одном сервере. Целерончик что ли у меня тогда был 2.4GHz...<br><br>&gt;&gt;когда я додумаю, слово "хостинг" будет странным понятием из прошлого<br>&gt;В смысле виртуальный? <br><br>Да. Он уже есть "паровой автомобиль", просто люди ещё об этом не знают.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/37073.html#26 Mon, 02 Apr 2007 16:35:14 GMT &gt;главная опасность это разбор заголовков под рутом, если тут ошибиться можно получить <br>&gt;remote root. <br><br>Не давайте рута ни при каких обстоятельствах. Все карты в руках - перед setuid проверяйте на кого setuid делаете.