[Typo3-UG Russia] Hosting + php-accelerator
Dmitry Dulepov
typo3 at fm-world.ru
Fri Jun 17 15:35:39 CEST 2005
Привет!
> У меня все хостящиеся имеют свой логин, и все их скрипты запускаются
> из под них, это требование безопасности.
Чем это лучше Апачевского юзера? Требование должно иметь какую-то
логику. В чём тут логика? Что конкретно достигается выполнением скрипта
из под пользовательского логина?
> Я гораздо больше верю в
> системную безопасность, чем в безопасность на уровне PHP.
Это из серии "Винды - плохо, Линукс - хорошо". Нет обоснования такой
"веры". А слепая вера - это плохо.
> Проблема mod_php в том, что все сайты работают под одним системным логином,
> тем же под которым Apache, это дыряво.
Почему именно это дыряво?
В конце концов, можно сделать chroot-ed environment, будет доступ только
к самому Апачу и каталогу пользователя...
> FastCGI работает так - PHP заранее запускается (по несколько
> отдельных экземпляров на каждого клиента) и ждет. Apache по заходу
> на URL, отправляет в PHP по FastCGI протоколу имя скрипта и
> параметры, и ждет страницу (ну а PHPA разумеется вместо страницы
> берет предкомпилированный код и исполняет).
>
> Плюсы:
> 1. Никакой код модуля mинтерпретатора PHP не может навредить
> самому Apache, или экземпляру интерпретатора PHP другого клиента.
> Более того, я могу для каждого клиента использовать его собственные
> настройки PHP (php.ini).
И много клиентов имеют собственные настройки?
> 2. Системно исключены проблемы параллельного выполнения кода (мы же говорим о
> множестве клиентов), т.к. для параллелизации используется системный
> механизм многозадачности, а не реализованный в mod_php.
А в чём проблема с параллельным выполнением кода в пхп?
> 3. Код выполняется в системном окружении пользователя и подчиняется
> системным ограничениям и правам установленным для него, т.е. UNIX
> обеспечивает безопасность.
Ничего не мешает это сделать на уровне Апача. К тогу же для Апачевского
юзера обычно более жёсткие ограничения в системе установлены. Какие
дополнительные ограничения устанавливаются юзеру?
> 4. Даже с CGI-ем можно задосить сервак (Deny of Service), через
> FastCGI - сервер убить нельзя. Т.к. если не один из запущенных
> экземпляров интерпретатора не освободился к моменту очередного
> обращения, посетитель сайта (именно этого сайта) будет послан с ошибкой, сервер ничего делать
> не будет!
Это не мешает устроить DoS другим путём, преимущество перед mod_php никакое.
> Про mod_php и все акселераторы под него, считаю, что их используют
> из-за дешевизны и незнания альтернатив.
> Друзья, дешевизна враг хорошего!
Ну, да... Некоторые (несознательные) даже используют дешёвый
(бесплатный) Линукс, потому что не знают альтернатив: Sun Solaris или
HP-UX всего за несколько килобаксов...
Считать это хорошо, только надо иметь основания. В сети есть статистика
по производительности разных акселераторов. Стоит её поискать, а потом
ещё раз подумать почему используют mmcache. Кстати, пхп тоже дешёвый,
есть более дорогие альтернативы, Cold Fusion, например. Почему бы их не
использовать?
phpA проигрывает mmcache и достаточно сильно.
> Для тех, кто меня понимает - http://www.php-accelerator.co.uk/ и
> ещё, ionCube официально не заявлет о поддержке FastCGI, т.к. каждый
> экземпляр акселератора занимается сбором мусора (старых
> прекомпиляций) на диске, что противоречит системным правам. Я эту
> функцию просто выключил, что бы в логах не ругалась, в результате у
> меня несколько сотен мегабайт кэшей на диске за четыре месяца, меня
> не парит, в пересчете на стоимость дискового пространства это бакс.
Бардак-с у Вас, батенька... :)
Дмитрий.
More information about the TYPO3-russia
mailing list