2 Instanzen von Apache - geht das, wenn ja - wie?
Hans-Dietrich Kirmse
hd.kirmse at gmx.de
Do Dez 10 20:49:01 CET 2009
Hallo Robert,
Robert Schulze schrieb:
> Hi,
>
> Hans-Dietrich Kirmse schrieb:
>
>>> Trotzdem ist suexec hier einfacher anzuwenden und bringt nebenbei _noch_
>>> mehr Sicherheit zumindest für die Schüler untereinander. Die
>>> Konfiguration des PHP würde dabei identisch sein.
>> Verstehe ich dich richtig - du meinst einen Apache, statt PHP als Modul
>> eben alles auf CGI-Basis über suexec aufgerufen?
>
> ja.
okay.
>> Dann müssen aber doch auch die Programme wie Wiki (hier Mediawiki - wird
>> für Schule gebraucht wegen Teamarbeit) und fürs CMS als Schulportal
>> (hier Contenido - zur Bereitstellung von Bildern über Berichte von
>> Veranstaltungen ...) und nicht zuletzt eines LMS (hier Moodle - habe ich
>> keine Erfahrung damit, steht aber schon bereit) - dass muss doch dann
>> alles auch per CGI und suexec aufgerufen werden. Oder irre ich mich da?
>
> Mediawiki/Contenido und Co. würden dann unter suexec laufen (naja: der
> PHP-Interpreter läuft unter suexec und führt halt die Skripte aus).
Kann ich mir nicht vorstellen, dass das beim Projektleiter auf
Gegenliebe stößt. Ausgerechnet er hat Contenido, Mediawiki und Moodle
bereitgestellt. (übrigens wird von ihm auch das gesamte Portal zu Delixs
bereitgestellt: www.delixs.de)
>> Ich sehe hier echte Performance-Probleme. (ist aber einfach "aus dem
>> Bauch heraus" - ich weiss es nicht wirklich)
>
> Wie gesagt: Humbug bei so einem kleinen Setup, das kann ich aus
> Erfahrung behaupten. Du wirst da keinen Unterschied feststellen.
ich weiss zwar nicht wie hier "klein" definiert ist. Aber Ich hatte vor
2 Jahren erst einen neuen Schulserver bekommen, weil der aus dem Jahre
2000 abgeraucht war. Und 6 bis 8 Jahre alte Schulerver - gerade in
Thüringen sind keine Seltenheit. Wenn dann auf denen Apache, Squid mit
Squidguard, Samba, LDAP, MySQL, Postfix, Dovecot, Webmail (Roundcube),
und eben Contenido, Mediawiki und Moodle laufen soll, dann ist das für
mich schon bedenklich. Zudem fehlen ja auch noch ein paar Dienste, die
aber noch kommen sollen, nämlich NFS und FTP und vor allem CUPS. Und
jetzt bitte beachten, in der Schule ist es so: Stunde beginnt, der
lehrer gibt eine Aufgabe und dann gehen Zeitgleich 15 oder vielleicht
sogar 30 Rechner zeitgleich ans Netz und nutzen in der Regel auch die
gleichen Dienste. solche Probleme gibt es m.E in Firmen nicht.
Deswegen, klein ist m.E. relativ. Wir machen uns schon Gedanken wegen
der Ressourcen und der Performance.
>> Aber
>> das Anliegen, eben die Sicherheit trotz PHP in den Userdirs zu
>> gewährleisten, wäre aus meiner Sicht erreicht.
>
> dann läuft PHP unter der UID des Apachen. Wenn kein Dateisystemzugriff
> benötigt wird, also alles über eine Datenbankanbindung geschiet, dann
> mag man dies noch verzeihen, weil der Apache dann keine
> Schreibberchtigung in den Userdirs braucht. Wenn auch Dateizugriff über
> PHP möglich sein soll, dann viel Spaß mit den Schülern, die sich
> gegenseitig ihre Dateien weglöschen.
geht nicht wegen safe_mode = on
siehe http://www.php-faq.de/q-konfiguration-safe-mode.html
"Wenn safe_mode aktiv ist, sind verschiedene PHP-Funktionen privilegiert
oder eingeschränkt. Zumeist gilt die safe_mode Einschränkung, dass auf
eine Datei oder ein Verzeichnis nur eingewirkt werden darf, wenn die
Datei oder das Verzeichnis denselben Eigentümer hat wie das Script."
MfG Hans-Dietrich
PS: ich traue der Sicherheit von PHP auch nicht. Aber so einfach ist es
doch nicht, das ein Schüler auf ein anderes Verzeichnis zugreifen kann.