AW: Re: 2 Instanzen von Apache - geht das, wenn ja - wie?
Niels Dettenbach
linux at eichsfeld.net
Mo Dez 7 20:54:15 CET 2009
...nur mal ein kleiner, genereller Hinweis:
Wozu brauchen die Admin-Scripte am Webserver (PHP) überhaupt irgendwo irgendwelche Root-Rechte (z.B. sudo)? Die Gefahren sind immerhin enorm - und auch Schüler lernen irgendwann mal was (dazu). ;)
Die geläufigen Berechtigungen und die meisten damit verbundenen Komfigurationen kann man - soweit ich überlegen kann - auch ohne Root / Sudo realisieren. Z.B. kann man seine Benutzerdaten / -rechte gut und gern in eine SQL-DB legen oder mit LDAP realisieren. Die Admin-Anwendung braucht dann zwar Zugriff auf die (damit kritische) DB oder LDAP, aber am drunterliegenden System selbst (was davon getrennt arbeiten kann) keinerlei sonderliche Rechte.
Mit einem (unter root o.ä.) laufenden Daemon kann man dann - wenn noch nötig - automatisiert z.B. "Home-"Verzeichnisse erzeugen oder wegräumen lassen. Der Daemon bedient sich dazu aus der Datenbank und / oder wird vom Admin-GUI lediglich "angestoßen" o.ä. Ob man aber überhaupt User zu System-Usern machen muß, bleibt für die meisten Anwendungen dahingestellt. PHP ist da eine leidige Ausnahme...
Ggf. macht es in Eurem Setup auch Sinn, die Nutzerapplikationen / Daten in einen / mehrere virtualisierte Hosts oder wenigstens in eine chroot zu packen - die Administration also in eine andere.
Unter FreeBSD erinnere ich mich an eine Konfig bei einem Provider, der mehrere hundert "virtuelle Server" in Form von Jails auf einer Servermaschine (einige Jahre her!) betrieben hat - mit brauchbarer Performance für solcherart Zwecke. Jeder Jail hatte eine eigene IP - jeder Kunde SSH-Zugang zu "seinem" Server etc. Vor allem mit PHP könnte das allerdings allerdings speicherintensiv werden... Zu der Zeit war noch CGI mit Perl üblich...