57 odpowiedzi na ten temat

[Miłosz]

Mówimy o mod_fastcgi czy mod_fcgid?

[patrys]

W temacie masz fcgid, jednak to mało istotne.
By odpalić starter/wrapper musi on być na uprawnieniach usera i być na koncie usera więc jest to niebezpieczne
Wypadało by zmienić te reguły suexec, by mógł być zabezpieczony przed edycją i by można było go wynieść poza katalog usera ( drugie niekoniecznie).

Kończąc jeżeli chcesz tak bez zmian w suexec, to utwórz starter na koncie usera może być w public_html lub niżej i nadaj mu chmod 555 z prawami usera.

Ten post był edytowany przez patrys dnia: 22 listopad 2011 - 16:40
EDIT

[Miłosz]

Ja trzymam wrappery poza /home i /var + open_basedir. Coś tam kiedyś kombinowałem w suexecu jak wrappery były w katalogach domen - cgi-bin. Ale zrezygnowalem z tego rozwiązania.

Avatat, luknij też na to: http://www.bxtra.net/comment/2260

[patrys]

Cytuj

Ja trzymam wrappery poza /home i /var + open_basedir. Coś tam kiedyś kombinowałem w suexecu jak wrappery były w katalogach domen - cgi-bin. Ale zrezygnowalem z tego rozwiązania

Zadziała z fcgid gdy katalog w którym będzie starter będzie miał prawa usera z którego chcesz odpalić starter.
Jednak większość trzyma wszystko na koncie użytkownika więc wtedy nie jest to bezpieczne gdy może to ktoś edytować.

Cytuj

Avatat, luknij też na to: http://www.bxtra.net/comment/2260

Nie musi być

/fcgi/${username}/public_html

, aż brzydko wygląda.
Łyknie każdą nazwę, dla DA najlepiej zmienić to na np.

/usr/local/directadmin/data/users/$username/php/php5.ini

[Miłosz]

patrys, o 22 listopad 2011 - 16:48, powiedział:

Zadziała z fcgid gdy katalog w którym będzie starter będzie miał prawa usera z którego chcesz odpalić starter.

Więkość rzeczy rozbija się o bezpieczeństwo. Akurat korzystam z fcgid

[Avatat]

Nikt nigdzie nie wspominał o edycji źródła i ponownel kompilacji.. O co chodzi?

[patrys]

To tylko by znieść zabezpieczenie na exec przez inny uid.
Jak zrobisz tak jak wyżej stosując dobry chmod ( ex. 555 ), i właściwego użytkownika to zadziała.

[Avatat]

Właśnie, tak poza tematem (dziś w nocy jeszcze będę męczyć i dam znać) - dlaczego każdy użytkownik musi mieć oddzielny skrypt startowy (fcgid.sh) skoro one niczym się nie różnią? Mi to w sumie w niczym nie przeszkadza, ale pytam z czystej ciekawości

[kafi]

Jak to się nie różnią... a uid/gid tego wrappera to co?
Oczywiście, można zrobić to na jednym fizycznym pliku, ale wtedy masz ten mismatch owner, który zacytowałeś - i musisz przeedytować suexecka, który ze względów bezpieczeństwa nie pozwala na uruchamianie skryptów o innym uid niż ten zdefiniowany jako SuexecUser.

[Avatat]

Dobrze, różnią się uid/gid ale nie różnią się zawartością. Czy takie uruchamianie z oddzielnych starterów jest bezpieczniejsze niż z jednego wspólnego (po zmodyfikowaniu źródła suexeca)?

[kafi]

Suexec i tak działa na prawach roota, po czym zmienia EUID procesu.
Kwestia tego zabezpieczenia jest, można by ująć, historyczna - po to, aby ktoś nie uruchamiał nie-swoich-skryptów-CGI.

Z tym, że jak masz osobny wrapper na usera, to możesz mu łatwo ścieżkę do php.ini stworzyć (ustawić zmienną PHPRC).
Przy jednym pliku też się da, ale trzeba troszkę pokombinować

[Avatat]

Panocki! Wykorzystując mój geniusz.. Joke, to wszystko dzięki Wam! Skleciłem taki skrypt z dwóch skryptów:

#!/bin/sh
for username in `ls /usr/local/directadmin/data/users`; do
{
mkdir -p /fcgi/${username}/public_html
cp /usr/local/directadmin/scripts/custom/fcgid.sh /fcgi/${username}/public_html/fcgid.sh && chmod 0700 /fcgi/${username}/public_html/fcgid.sh
cp /usr/local/directadmin/scripts/custom/php.ini /fcgi/${username}/public_html/php.ini
perl -pi -w -e "s/PHPCFG_BASEDIR/\/home\/${username}\//g;" /fcgi/${username}/public_html/php.ini
chown -R ${username}:${username} /fcgi/${username}
}
done;

Po nadaniu uprawnień wszystko ruszyło od kopa. Elegancko działa.
PHPInfo mówi:

Cytuj

Server API: CGI/FastCGI
Configure Command: ... '--enable-fastcgi' ...

Więc FastCGI działczy?

Może odejdę od tematu: jak nałożyć limity CPU na wykonywanie skryptów? Próbowałem tak (starter fcgid.sh):

#!/bin/sh
export PHP_FCGI_MAX_REQUESTS=0
exec cpulimit -P /usr/local/php5/bin/php-cgi -l 5

Skrypt jest wykonywany chyba w nieskończoność, strona nie ładuje się - jak zrobić to poprawnie?


Edit: Pomęczyłem, pomęczyłem i doszedłem:

#!/bin/sh
PHPRC="~"
export PHPRC
export PHP_FCGI_CHILDREN=1
exec (cpulimit -P /usr/local/php5/bin/php-cgi -l 10)

Za pomoc zapraszam do Zamościa na browarka


EDIT: Starter z CPULimit niby odpala skrypty PHP ale w ogóle nie limituje procka. Co z tym fantem zrobić?

Ten post był edytowany przez Avatat dnia: 23 listopad 2011 - 00:25

[kafi]

To jest dedyk, czy jakiś VPS na np. OpenVZ?
Jeśli to drugie, to możesz zapomnieć o używaniu cpulimit. Uruchomić się niby uruchomi, ale sensownie działać nie będzie (czemu? wskazówką jest część wspólna schedulera ovz i cpulimitu - metoda "wstrzymywania" procesów start/stop).

Jeśli to dedyk, to spróbuj skompilować sobie cpulimit ze źródełek wersji svn - ale to też lubi działać, jak chce.

[Avatat]

To jest VPS na VMWare z jednym fizycznym rdzeniem dla mnie. Rano skompiluję sobie cpulimit, może to coś pomoże.
Jeszcze raz dzięki wszystkim za pomoc, dobrej nocki!

[kafi]

Jak go skompilujesz, to wywołaj przez

cpulimit --limit 10 /usr/local/php5/bin/php-cgi

Przy jednym rdzeniu jeszcze powinno jakoś tam działać

[Avatat]

Działa. Limity limitują hardcorowo:
Bez limitu czas wykonywania pewnego skryptu 2,7s
50% - 5,8s
5% - 50s

Miłego dzionka

[Uriel]

Na świeżo zainstalowanym DA, kierując się tutorialem podanym wcześniej przez Miłosza, próbowałem zainstalować mod_fcgid. Kilka razy formatowałem vps'a, więc przy okazji kilkakrotnie instalowałem owy mod_fcgid, ale efekt zawsze był taki sam:

[Sun Jan 15 03:01:03 2012] [warn] [client #] mod_fcgid: can't apply process slot for /fcgi/maciek/public_html/fcgid.sh

Co może być przyczyną owego problemu? (system CentOS 6 x32, mod_fcgid 2.3.6)

Z góry dzięki za pomoc

Ten post był edytowany przez Uriel dnia: 15 styczeń 2012 - 03:38

[patrys]

Sprawdź uprawnienia i zwiększ ilość procesów w konfiguracji modułu.