2 Instanzen von Apache - geht das, wenn ja - wie?
Robert Schulze
rob at rob-schulze.de
Mo Dez 7 19:12:53 CET 2009
Hallo,
Hans-Dietrich Kirmse schrieb:
>
> Das bedeutet doch erstmal, dass www-data die Möglichkeit hat, Scripte
> zur Userverwaltung mit root-Rechten auszuführen. Das User mit selbst
> geschriebenen PHP-Scripten in den "Userdirs" damit prinzipiell auch
> unter dieser UID auf diese Scripte zugreifen könnten wird doch nur durch
> (hoffentlich korrekte) Konfiguration von PHP sichergestellt. Und da ist
> die korrekte Kofniguration schon unter Experten recht strittig.
Fast unmöglich würde ich persönlich behaupten.
In PHP kommen immer wieder Sicherheitslücken raus, bei denen die
jeweilige Konfiguration umgangen werden kann.
Wie bereits am Anfang des Threads beschrieben: nimm suexec, dort läuft
der PHP-Prozess immer unter dem Kontext des Benutzers - er kann dies
nicht umgehen und sehr wenig kaputt machen.
Stichwörter wie "langsam" kannst du bequem ad acta legen, insbesondere
in so einem kleinen Setup. Sicherlich gibt es Anforderungsbereiche, in
denen mod_php angebracht ist, jedoch ist die sicherste und vor allem
stabilere (da PHP nicht im Webserver drinsteckt) Lösung die mit suexec.
Das hat auch nix damit zu tun, ob man nun noch auf eine DB zugreifen
will oder sonstwas. Hinsichtlich des Funktionsumfangs wird ein Skript
nicht beschnitten, wenn es als gesonderter Prozess läuft.
Beste Grüße,
Rob