The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Виртуальные хосты от разных пользователей"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы WEB технологии (Public)
Изначальное сообщение [ Отслеживать ]

"Виртуальные хосты от разных пользователей"  
Сообщение от Norr email(ok) on 30-Дек-08, 13:01 
Приветствую многоуважаемые участники форума.
Возникла необходимость ограничить ресурсы системы выделяемые для apache22. Было принято решение настроить запуск каждого отдельного виртуального хоста под разными пользователями и уже у этих пользователей вводить квоты на системные ресурсы. Погуглив и поискав на opennet.ru нашел пару статей по этому поводу, но в них приводился в основном apache13 с самописным модулем. Поскольку с apache22 уходить никак не получается (заморочки фирмы) решил пойти по более сложному пути и почитать системные man по httpd.conf :-). В них говорилось про то, что надо пересобрать apache и добавлением в makefile в секцию CFLAGS флаг -DBIG_SECURITY_HOLE, потом запустить apache из-под рута и типа в vhosts можно будет прописывать директивы user и group. Сделал все по этому руководству, но желаемого эффекта это не принесло((( apache конечно из-под рута стартует, но прописать пользователя и группу в каждом виртуальном хосте не позволяет.
Вопрос заключается в следующем, как можно заставить работает апач из-под разных пользователей для виртуальных хостов? НУ или каким способом можно ограничить потребляемые ресурсы для каждого отдельного виртуального хоста, может у кого еть опыт))
Заранее благодарен.
Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Виртуальные хосты от разных пользователей"  
Сообщение от Pahanivo email(ok) on 30-Дек-08, 14:53 
>[оверквотинг удален]
>что надо пересобрать apache и добавлением в makefile в секцию CFLAGS
>флаг -DBIG_SECURITY_HOLE, потом запустить apache из-под рута и типа в vhosts
>можно будет прописывать директивы user и group. Сделал все по этому
>руководству, но желаемого эффекта это не принесло((( apache конечно из-под рута
>стартует, но прописать пользователя и группу в каждом виртуальном хосте не
>позволяет.
>Вопрос заключается в следующем, как можно заставить работает апач из-под разных пользователей
>для виртуальных хостов? НУ или каким способом можно ограничить потребляемые ресурсы
>для каждого отдельного виртуального хоста, может у кого еть опыт))
>Заранее благодарен.

ключевое слово: "виртуализация"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Виртуальные хосты от разных пользователей"  
Сообщение от Norr email(ok) on 30-Дек-08, 15:09 
Да, забыл сказать, решения с jail не подходят, на сервере 1 ip и больше выделить не получиться.(((
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Виртуальные хосты от разных пользователей"  
Сообщение от angra (ok) on 31-Дек-08, 02:38 
Если вопрос только в дисковых квотах, то достаточно правильного выставления группы с sgid битом на директории пользователей. Квоты будут считаться по uid пользователя,а апач будет иметь доступ по группе. Если же нужны квоты на память и процессор, то только легкая виртуализация, например OpenVZ.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Виртуальные хосты от разных пользователей"  
Сообщение от FelixS email(??) on 31-Дек-08, 08:09 
>[оверквотинг удален]
>что надо пересобрать apache и добавлением в makefile в секцию CFLAGS
>флаг -DBIG_SECURITY_HOLE, потом запустить apache из-под рута и типа в vhosts
>можно будет прописывать директивы user и group. Сделал все по этому
>руководству, но желаемого эффекта это не принесло((( apache конечно из-под рута
>стартует, но прописать пользователя и группу в каждом виртуальном хосте не
>позволяет.
>Вопрос заключается в следующем, как можно заставить работает апач из-под разных пользователей
>для виртуальных хостов? НУ или каким способом можно ограничить потребляемые ресурсы
>для каждого отдельного виртуального хоста, может у кого еть опыт))
>Заранее благодарен.

Ограничения сетевых подключений -- mod_cband


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Виртуальные хосты от разных пользователей"  
Сообщение от Norr email(ok) on 06-Янв-09, 12:35 
Нашел в портах вот это /usr/ports/www/apache22-peruser-mpm.
В pkg-descr написано следующее

Peruser is an Apache 2 modules based on metuxmpm. The fundamental
concept behind them is to run each apache child process as its own
user and group, each handling its own set of virtual hosts. Peruser
and recent metuxmpm releases can also chroot() apache processes.
The result is a sane and secure web server environment for your
users, without kludges like PHP's safe_mode.

Помоему это как раз оно))) Ни кто не сталкивался?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Виртуальные хосты от разных пользователей"  
Сообщение от Aleksey (??) on 06-Янв-09, 13:12 
Используйте Apache 2 ITK MPM http://mpm-itk.sesse.net/.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Виртуальные хосты от разных пользователей"  
Сообщение от Norr email(ok) on 12-Янв-09, 17:43 
Проблема решена))
Все оказалось проще, чем я думал))) Огромное спасибо Aleksey.
собрать apache22 с mpm itk можно просто изменив в директории порта (/usr/ports/www/apache22) файл Makefile. Необходимо прописать В WITH_MPM вместо prefwork это самое itk))) В этом файле даже комментарий по этому поводу имеется))) После пересборки появляется возможность в VirtualHost прописывать AssignUserID и MaxClientsVHost.
В очередной раз убеждаюсь, что покурить man поподробнее крайне полезно)))
Да, и еще. В принципе можно запуска выполнение cgi сценариев под разными пользователями и при помощи модуля suexec. После подключения данного модуля появляется директива SuexecUserGroup. В ней также прописываются пользователь и группа, но запускаться этими пользователями будут только сценарии cgi. В некоторых случаях это удобно.
Для дальнейшего ограничения ресурсов каждого виртуального хоста будет создан класс пользователей с системными ограничениями ресурсов.
Всем еще раз большое спасибо.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Виртуальные хосты от разных пользователей"  
Сообщение от Aleksey (??) on 13-Янв-09, 11:25 
Установите suhosin patch для php, чтобы изменять disabled_functions не глобально, а индивидуально для каждого хоста.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру