https://opennet.ru/openforum/vsluhforumID8/5404.html Здравствуйте.<br>Значит ситуация у меня такая..<br>Решил я организовать виртуальный хостинг: арендовал сервер(CentOS 5.1) и купил панель ISPmanager.<br>При создании аккаунтов в ISPmanager есть 2 варианта работы Apache:<br>1)php как модуль Apache<br>2)php как CGI<br>Проблема: При варианте 1 php скрипты имеют права Apache и через шелл свободно можно просматривать директории всего сервера. При варианте 2 некорректно работают php скрипты выдавая ошибки.<br>Мне требуется: корректная и безопасная и максимально быстрая работа php, CGI и SSI скриптов под различными UNIX пользователями с ограниченными правами доступа только к своим директориям для каждого аккаунта виртуального хостинга, естественно при safe_mod OFF, KeepAlive ON, MaxRequestsPerChild != 1.<br>Проштурмовав Google и данный форум я нашел несколько интересных статей разных годов:<br>1 http://dklab.ru/lib/dklab_apache/<br>2 http://www.opennet.ru/base/net/fastcgi_php.txt.html<br>3 кучу модулей http://www.opennet.ru/prog/sml/76.shtml среди которых актуальные для данной темы: suEXE https://opennet.ru/openforum/vsluhforumID8/5404.html#5 Thu, 06 Dec 2007 08:49:58 GMT И кто что думает насчет dklab Apache?<br> https://opennet.ru/openforum/vsluhforumID8/5404.html#4 Thu, 06 Dec 2007 08:47:58 GMT &gt;В mod_php по крайней мере есть base_dir, хотя ее ограничение постоянно ломают<br><br>Согласен.<br>&gt;suexec+fcgi могут помочь, вот только нужна модификация скриптов. <br><br>Какая именно модификация и чем пользуешься сам?<br> https://opennet.ru/openforum/vsluhforumID8/5404.html#3 Thu, 06 Dec 2007 08:41:40 GMT &gt;я пользуюсь suEXEC , каждый процесс апача порождается под своим юзером , <br>&gt;и php как модуль<br><br>С seEXEC понятно, а php как модуль - это небезопасно т.к. любой школьник заливший шелл получит такие права, что сможет натворить делов.<br> https://opennet.ru/openforum/vsluhforumID8/5404.html#2 Thu, 06 Dec 2007 08:14:13 GMT Вы не поверите, но при запуске через CGI скрипты тоже будут иметь пользователя apache и доступ ко всему к чему имеет доступ апач. В mod_php по крайней мере есть base_dir, хотя ее ограничение постоянно ломают, что делать пых одна большая дырка по своей сущности.<br>suexec+fcgi могут помочь, вот только нужна модификация скриптов.<br> https://opennet.ru/openforum/vsluhforumID8/5404.html#1 Thu, 06 Dec 2007 08:06:12 GMT &gt;[оверквотинг удален]<br>&gt;1 http://dklab.ru/lib/dklab_apache/ <br>&gt;2 http://www.opennet.ru/base/net/fastcgi_php.txt.html <br>&gt;3 кучу модулей http://www.opennet.ru/prog/sml/76.shtml среди которых актуальные для данной темы: suEXEC, perchild, <br>&gt;peruser, mod_diffpriv, mod_suid и т.д... <br>&gt;4 http://www.opennet.ru/opennews/art.shtml?num=10329 <br>&gt;Но так и не решил, что делать.. <br>&gt;<br>&gt;Подскажите, пожалуйста, народ: Какой вариант настройки Apache(учитывая вышесказанное) действительно актуален на данный <br>&gt;момент? <br>&gt;Заранее спасибо за все ваши имхо. <br><br>я пользуюсь suEXEC , каждый процесс апача порождается под своим юзером , и php как модуль<br>