הוסטס - פורום אחסון האתרים הגדול בישראל - הפרדה בין משתמשים באפאצ׳י

- תחזוק שרתים ושירותי רשת נוספים (https://hosts.co.il/forums/forumdisplay.php?f=29)

- - הפרדה בין משתמשים באפאצ׳י (https://hosts.co.il/forums/showthread.php?t=96187)

הפרדה בין משתמשים באפאצ׳י

התקנתי שרת אפאצ׳י על VPS עם Centos עם כמה משתמשים ויש לי כמה שאלות.

1. איך אני מונע ממשתמש לגשת לתיקיית הבית של משתמש אחר? הרי אני צריך לתת הרשאות למשתמש של אפאצ׳י על תיקיות הבית וזה יאפשר גם למשתמשים אחרים במערכת לגשת לתיקיות.

2. בהנחה שפתרתי את שאלה 1, איך אני מונע משתמשים להריץ קוד (נגיד PHP) שייגש לתיקיות של המשתמשים האחרים? מי שיריץ את הקוד הוא אפאצ׳י ולו יש הרשאות גישה.

אני מריץ שרת קטן עם כמה מערכות ווב והמטרה שפריצה לאחת המערכות לא תפגע במערכת אחרת.
ניסיתי להגדיר הפרדה כזו בעזרת webmin אבל הוא דורש מודול בשם virtualmin שלא ניתן להפעלה על Centos.

קראתי גם הרבה על chroot אבל ראיתי שיש הרבה דרכים והן לא פשוטות ובנוסף הבנתי שזה לא יפריד בין המשתמשים אלא רק ימנע מהם גישה לתיקיות של רוט.

אודה להכוונה.

1. chown/chmod
2. suphp

:)

תודה, אבל:
1. כמובן שאני מגביל הרשאות אבל אני רוצה שמשתמש לא יוכל לקרוא קבצים של משתמש אחר ולפעמים גם לתת הרשאות כתיבה לאפאצ׳י בלי לאפשר כתיבה למשתמש אחר.
2. אני אבדוק את זה. אבל זה נראה ישן ולא מתעדכן, אין בעיה אתו?

תגגל על mod_ruid2
ואין בעיה עם suphp חוץ מזה שהוא קצת איטי (מחייב שימוש בPHP כ-cgi).

להתקין את PHP כFCGI ולהשתמש בPHP-FPM.
להגדיר לכל אפליקציה/דומיין POOL שונה של פרוססים וכל POOL ירוץ על יוזר שונה
אני גם הייתי מחליף את הAPACHE בNGINX

תודה על כל העצות.
suphp היה קצת אטי ועברתי להשתמש ב־fcgid לפי ההוראות ב http://www.howtoforge.com/how-to-set...-on-centos-5.2

זה עובד מצוין חוץ מבעיה אחת. אי אפשר לגלוש אל phpmyadmin ולמרות שניסיתי להגדיר אותו לרוץ דרך fcgid לא הצלחתי לעשות זאת.
זה חשוב לי לפתור.

ציטוט:

נכתב במקור על ידי hatul (פרסם 839403)

הגדרת אותו בספריה גלובאלית anydoamin.com/phpmyadmin?
תעלה את הקובץ הגדרות שלך לpastebin ותן פה קישור.
תמחק פרטים שעלולים להיות פרצת אבטחה

תודה, הנה הם.
נסיתי כרגע להגדיר את phpmyadmin בתור VirtualHost נוסף ויצרתי קישור סימבולי מ־/var/www/phpmyadmin/web אל /usr/share/phpmyadmin אבל אז אני מקבל את דף בררת המחדל של אפאצ׳י. קראתי איפשהו שזה אמור לעבוד.
בלי VirtualHost הצלחתי לטעון את הדף הראשי של phpmyadmin אבל הוא לא רץ בשרת והוצג לי כל הקוד שלו.

httpd.conf
http://pastebin.com/ztz4aXUF
phpmyadmin.conf
http://pastebin.com/wuNPxtvc

תשנה את:
keepalive ל-on.
directoryindex - שים את index.php ראשון.
ServerTokens ל-Prod

זה אומנם לא קשור לבעיה שציינת כאן, אבל זה ישפר את הביצועים.

בעיקרון אם אתה רואה את תוכן הקובץ (php) במקום את התוצר המגומר שאמור להיות סימן ש-php לא רץ כמו שצריך.
מהצצה בקובץ הראשון שאליו קישרת, לא טענת את mod_fcgid (למרות שיכול להיות שהוא נטען באחד מקבצי הקונפיגורציה האחרים שלך).

ולגבי הקובץ השני לא ברור לי למה אתה צריך אותו כשיש לך בקובץ הראשון את זה:

ציטוט:

<VirtualHost *:80>
ServerName pma.site1.com
ServerAdmin info@site1.com
DocumentRoot /var/www/phpmyadmin/web

<IfModule mod_fcgid.c>
SuexecUserGroup phpmyadmin phpmyadmin
PHP_Fix_Pathinfo_Enable 1
<Directory /var/www/phpmyadmin/web>
DirectoryIndex index.php
Options +ExecCGI +FollowSymLinks
AllowOverride All
AddHandler fcgid-script .php
FCGIWrapper /var/www/php-fcgi-scripts/phpmyadmin/php-fcgi-starter .php
Order allow,deny
Allow from all
</Directory>
</IfModule>

# ErrorLog /var/log/apache2/error.log
# CustomLog /var/log/apache2/access.log combined
ServerSignature Off

</VirtualHost>

בכל אופן, אני מציע לך לעשות שימוש בmod_ruid2 + mod_php.
ולמען הסדר הטוב, עדיף לך להגדיר לכל דומיין / משתמש קובץ קונפיגורציה משלו ולאנקלד אותו בקובץ הראשי.

תודה.
המודול נטען בקובץ שלו fcgid.conf.

קוד:

# This is the Apache server configuration file for providing FastCGI support

# through mod_fcgid

#

# Documentation is available at http://fastcgi.coremail.cn/doc.htm



LoadModule fcgid_module modules/mod_fcgid.so



# Use FastCGI to process .fcg .fcgi & .fpl scripts

# Don't do this if mod_fastcgi is present, as it will try to do the same thing

<IfModule !mod_fastcgi.c>

    AddHandler fcgid-script fcg fcgi fpl

</IfModule>



# Sane place to put sockets and shared memory file

SocketPath run/mod_fcgid

SharememPath run/mod_fcgid/fcgid_shm

את phpmyadmin הוספתי לקובץ הראשי בתקוה שזה אולי ישכנע אותו לעבוד. זה לא ממש עזר.
מה היתרון של mod_ruid2? מקריאה ראיתי שאני צריך לקמפל אותו בעצמי, הוא שווה את זה?

הקימפול של mod_ruid2 לוקח בדיוק דקה על השעון.
הרעיון של המודול הזה הוא שאתה יכול להגדיר לכל VirtualHost משתמש שדרכו ירוץ הפרוסס של הApache.
היתרון הגדול ביותר הוא כמובן אבטחה מוגברת ללא איבוד ביצועים גדול (בניגוד לsuPHP למשל שצורך הרבה יותר משאבים ופועל לאט יותר באופן ניכר).
יש לו יתרונות נוספים השאלה ביחס למה אתה משווה אותו.
בכל מקרה, בשביל שיהיה לך קל לנהל את השרת שלך אני מציע לך לחלק את קבצי הקונפיגורציה שלך כך:
httpd.conf (קובץ קונפיגורציה ראשי, יכיל את הגדרות הtimeout וכו').
modules.conf - יכיל את כל המודולים שאתה מאנקלד (לדוגמה mod_php, mod_ruid2 וכו')
user.conf
user2.conf
user3.conf
וכו' יכילו את הVirtualHosts של כל משתמש בהתאם לדומיינים שיש לו.

מניסיון זה עושה הרבה סדר ועוזר לנהל את הכל ביותר פשטות וקלות.
תוכל להוסיף גם webservices.conf ושם להוסיף את ההגדרות של PhpMyAdmin, Webmail וכו'.

אגב, אין הרבה דקומנטציה על mod_ruid2 ברשת, אז אני אעזור לך קצת:
אם הApache שלך מקומפל עם mpm שהוא multi-threaded (כמו למשל worker) אז mod_ruid לא יעבוד כמו שצריך. תקמפל את Apache שוב עם prefork mpm.

ההגדרות שאפשר להוסיף ב-VirtualHost הם:

קוד:

    RMode - stat or config (default stat)

    RUidGid - Minimal uid or gid file/dir, else set[ug]id to default (User,Group)

    RGroups - Set aditional groups

    RDefaultUidGid - If uid or gid is < than RMinUidGid set[ug]id to this uid gid

    RMinUidGid - Minimal uid or gid file/dir, else set[ug]id to default (RDefaultUidGid)

    RDocumentChRoot - Set chroot directory and the document root inside

כשבעיקרון זה אמור להיראות משהו כזה:

קוד:

<VirtualHost 1.1.1.1:80 >

ServerName www.domain.com

ServerAlias www.domain.com domain.com

<IfModule mod_ruid2.c>

                RMode config

                RUidGid myuser mygroup

                RGroups apache

        </IfModule>

<Directory /home/myuser/html>

php_admin_flag engine ON (mod_php)

</Directory>

</VirtualHost>

תודה רבה על ההסבר.
רק עכשיו הגעתי לבצע את זה. התקנתי את mod_ruid2 והוא עובד מצוין.

היו קצת בעיות עם phpmyadmin אבל הצלחתי לסדר אותן.