tag:blogger.com,1999:blog-4428473564097379725.post1981714735200787223..comments2024-03-14T06:42:34.180+05:00Comments on Ещё один блог сисадмина: Postfix maildir umaskmorbohttp://www.blogger.com/profile/16650057587203469226noreply@blogger.comBlogger2125tag:blogger.com,1999:blog-4428473564097379725.post-57675831287321804392011-10-21T10:18:55.814+06:002011-10-21T10:18:55.814+06:00- сделать суидный cgi можно и на php, только не хо...- сделать суидный cgi можно и на php, только не хочется ради одного веб-приложения городить огород. К тому же, хоть производительность в моём случае и не важна, но cgi-скрипты работают несколько помедленне, чем скрипты в mod_php или на fastcgi.<br /><br />- я апачем и не пользуюсь, а пользуюсь lighttpd + fastcgi. Считайте, что этот пункт уже почти реализован.<br /><br />Сейчас посмотрел в документацию на fastcgi - есть возможность запускать fastcgi от разных пользователей. Кажется, это то, что нужно.<br /><br />- я апачем не пользуюсь. Во всяком случае, стараюсь не пользоваться.<br /><br />Спасибо за подсказку.morbohttps://www.blogger.com/profile/16650057587203469226noreply@blogger.comtag:blogger.com,1999:blog-4428473564097379725.post-5176389991169845232011-10-20T18:57:41.633+06:002011-10-20T18:57:41.633+06:00По-моему, есть ряд несложных решений, основанных н...По-моему, есть ряд несложных решений, основанных на том, что скрипты вообще-то не обязаны запускаться именно с правами www-data.<br />- тупо сделать суидный cgi. не suid root, а suid vmail или что там за пользователь. Написать на перле, на баше, на чём угодно (php тут не подходит). Если безопасность не пугает, это тоже испугать не должно ;)<br />- отказаться от апача и использовать nginx+php-fpm (наверное, можно apache2+php-fpm, только зачем?) - в php-fpm можно настроить несколько пулов, в каждом из которых воркеры от разных пользователей. Тут, понятно, и на php писать можно. Вообще очень гибкое решение, не нарадуюсь. Особенно на производительность не нарадуюсь - в нашем случае после перехода с apache2+mod_php5 на nginx+php-fpm нагрузка на серверы рухнула на глаз примерно вдвое...<br />- поставить apache2-mpm-itk. Осторожно, ему тоже нужно указывать, от имени какого пользователя запускается какой виртуальный хост, причём без этого он работать не хочет ;) Идея та же.Avarihttps://www.blogger.com/profile/02138208236375738582noreply@blogger.com