URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 5002
[ Назад ]
Исходное сообщение
"Тематический каталог: Установка PHP как CGI работающий под suEXEC (apache suexec php cgi security limit)"
Отправлено auto_topic , 23-Янв-05 15:09 
Обсуждение статьи тематического каталога: Установка PHP как CGI работающий под suEXEC (apache suexec php cgi security limit)

Ссылка на текст статьи: https://www.opennet.ru/base/dev/apache_php_as_cgi.txt.html

Содержание
Сообщения в этом обсуждении
"Установка PHP как CGI работающий под suEXEC (apache suexec php cgi security limit)"
Отправлено Малик , 23-Янв-05 15:09 
Лучше почитать статью на оригинальном ресурсе, т.к. я дописал несколько достаточно важных дополнений.
"Установка PHP как CGI работающий под suEXEC (apache suexec php cgi security limit)"
Отправлено tankistua , 13-Мрт-05 00:49 
вооьще-то существует модуль для апача. suphp называется
"Фикс"
Отправлено Дмитрий , 24-Янв-06 16:45 
Если апач включен в обе группы, значит один у другого пользователя сможет прочитать файлы. Я правильно понимаю?
Это не есть гуд. Совсем не гуд.
"Установка PHP как CGI работающий под suEXEC (apache suexec p..."
Отправлено resu , 14-Мрт-06 18:32 
по моему надо ставить в chroot все.
т.е. сам  апач плюс ОБЯЗАТЕЛьНО КАЖДЫЙ виртуальный хост. т.е. внутри апачя надо делать chroot для всех и каждого + su_uid + su_gid.


to  tankistua:
suPHP - может делать (если я парвильно понял конфиг) только один chroot для всего модуля (по крайней мере я не нашел возможности указать / передать chroot - dir через httpd.conf для каждого виртуального хоста). (поправьте если ошибаюсь)

"Установка PHP как CGI работающий под suEXEC (apache suexec p..."
Отправлено stellar , 15-Сен-06 11:45 
> моему надо ставить в chroot все.

Бред какой. Оставьте свое мнение при себе - умнее будете выглядеть.

Статья идиотская, не читайте ее.

"Установка PHP как CGI работающий под suEXEC (apache suexec p..."
Отправлено resu , 15-Сен-06 16:26 
> Бред какой. Оставьте свое ...

не аргументиревано

"Установка PHP как CGI работающий под suEXEC (apache suexec p..."
Отправлено Михаил , 10-Май-08 13:06 
угу, плюс если делать chroot то скрипт лежаший (к примеру) в /home/user/site , при chroot'е (/home/user) должен еще лежать и в /home/user/home/usr/site, т.е. приходиться делать символическую ссылку.

в SUPHP есть единственная возможность установить различия между сайтами в создании конфига PHP для каждого сайта в отдельности. suPHP_config (точно непомню) в Virtual Host'е кокраз это  и делает.

"Установка PHP как CGI работающий под suEXEC (apache suexec php cgi security limit)"
Отправлено dodger , 04-Июл-06 12:08 
Ложить бинарник php в cgi-bin - безумие.

http://php.benscom.com/manual/ru/security.cgi-bin.php

"Установка PHP как CGI работающий под suEXEC (apache suexec p..."
Отправлено Zed , 11-Сен-06 12:13 
Ну там же и читаем:
В PHP, указывая во время компиляции опцию --enable-force-cgi-redirect, а таке опции doc_root и user_dir во время выполнения скрипта, можно предотвратить подобные атаки для директорий с ограниченным доступом.


Опция --enable-force-cgi-redirect в статье указана.

"Установка PHP как CGI работающий под suEXEC (apache suexec php cgi security limit)"
Отправлено justhost , 01-Мрт-07 20:44 
Да в статье полный гимор)
Все делается намного проще и нет необходимости копировать php в каждую cgi-bin директорию для каждого юзверя.

Нужно сделать лишь следующее:
1-перекинуть php исполняемый файл или создать линк на него в директорию /var/www/cgi-bin

2-в httpd.conf добавть 3 строчки
AddType application/x-httpd-php php
ScriptAliase /php/ /var/www/cgi-bin/
Action application/x-httpd-php /php/php

"Установка PHP как CGI работающий под suEXEC (apache suexec php cgi security limit)"
Отправлено justhost , 01-Мрт-07 20:45 
или /usr/local/apache/cgi-bin
у кого как...
"Установка PHP как CGI работающий под suEXEC (apache suexec php cgi security limit)"
Отправлено Android , 17-Май-07 13:59 
А кто-нибуть юзал Apache dkLab?
"Установка PHP как CGI работающий под suEXEC (apache suexec php cgi security limit)"
Отправлено x_o_x , 31-Май-07 08:17 
Кстати. Что скажите по поводу безопасности сего пача для suexec?

if (strstr(cmd, ".php")) {
        execl("/usr/local/bin/php","php",cmd,NULL);
    } else {
    execv(cmd, &argv[3]);
    }
, где /usr/local/bin/php - php-cgi

"Установка PHP как CGI работающий под suEXEC (apache suexec php cgi security limit)"
Отправлено VArtem , 02-Янв-11 20:27 
Статья хорошая. Смог для себя подчеркнуть некоторые вещи. Спасибо
"Права и пользователи"
Отправлено w3site.org , 24-Ноя-11 16:02 
"Пользователей для веба заводить только в соответствующую группу,
например webusers."

Лутше сделать группу и пользователя идентичными
а группу сделать для апачиотдельно, по группе сможет читать апачи а по имени пользователя - пользователь и в соответствии выставляь chmod и chown