четверг, 29 ноября 2012 г.

apache: Особенности работы сайтов от заданных пользователей

Штатно все сайты работают от пользователя апача (www, www-data, apache).

Как изменить это поведение на работу от заданного пользователя:
suphp
suexec
cgi/fastcgi
apache-mpm-itk

Особенности:
для mpm-itk выставляем пользователя через
AssignUserID

Для isp также надо вписать в ispmgr.conf:
Option ApacheMPM

Режим работы апача небезопасен: если найдут дыру в апаче, когда он работает от рута - вся система сразу будет под властью взломщика с неограниченными правами.

Для suexec опция
SuexecUserGroup

но!!! работает suexec только в режиме cgi/fastcgi! Через mod_php пользователь будет апача. Связано с тем, что apache через suexec запускает php от заданного пользователя и передаёт ему коннект через mod_proxy.

Также в режиме fastcgi будет особенность обработки конфигурационных файлов, в частности в debian будет читаться только содержимое каталога
/etc/php5/apache2/conf.d/
но при этом полностью игнорируется содержимое
/etc/php5/apache2/php.ini

Таким образом, для каждого пользователя надо вносить изменения в
/var/www/_user_/data/php-bin/php.ini
а глобально - создавать файлы в

/etc/php5/apache2/conf.d/

Например для fastcgi и битрикса можно создать глобальный файл 
/etc/php5/apache2/conf.d/mbstring.ini
с содержимым

[mbstring]
mbstring.internal_encoding = UTF-8
mbstring.func_overload = 2

также обычно я выношу файл datetime.ini (по имени секции из главного конфига), где выставляется таймзона сервера.




Линки
куда делся режим "PHP как FastCGI"

Комментариев нет:

Отправить комментарий