[Typo3-UG Russia] Hosting + php-accelerator
Dmitry Dulepov
typo3 at fm-world.ru
Fri Jun 17 21:10:27 CEST 2005
Привет!
Aleksey Barabanov wrote:
> Да нет. Вы не понимаете что во что входит. Это в системе запускается
> php, а не наоборот. Если вы сомневаетесь в системной безопасности, то
> php в такой системе вообще не более чем дырка от бублика.
А я не говорил, что сомневаюсь в системной безопасности :) Это автор
первого сообщения сомневается в безопасности пхп :)
> Потому, что к хостингу может потребоваться доступ через ssh, ftp, со
> стороны web-менеджера, который может иметь собственные дырки. И,
> главное, со стороны клиента-растяпы, от глупости которого не должны
> страдать другие клиенты.
Ну и что? Чем логин из под юзера лучше логина через Апаче в chroot-ed
environment?
>>В конце концов, можно сделать chroot-ed environment, будет доступ только
>>к самому Апачу и каталогу пользователя...
>>
> И всем кто туда залогинятся.
>
> Значит вам придется делать виртуальный апач.
>
> Ну сложите два + два и догадайтесь, что апач "тяжелее" чем просто FastCGI.
На данный момент не просто виртуальный "апач" а множество vps крутятся
на хостинге моего бывшего шефа и ничего, проблем с производительностью
нет. Всё живёт великолепно. Зависит от кривости рук того, кто
настраивает систему.
> А не в том дело , что имеют, а в том, что могут получить.
Нет, дело не в том, что юзеры гипотетически могут, а в том, что
большиство их реально имеет, т.к. именно из этого исходят, когда
планируют ресурсы и политику системы.
>>А в чём проблема с параллельным выполнением кода в пхп?
>>
> См. выше. Это к вопросу, что в чем работает.
Давайте конеретнее, на пальцах. Расскажите о недостатках параллельного
исполнения кода пхп. За многие годы я что-то в контексте безопасности об
этом не слышал. Видимо, это сокровенное знание есть у Вас и автора
первого сообщения :)
>>> 3. Код выполняется в системном окружении пользователя и подчиняется
>>> системным ограничениям и правам установленным для него, т.е. UNIX
>>> обеспечивает безопасность.
>>
>>Ничего не мешает это сделать на уровне Апача. К тогу же для Апачевского
>>юзера обычно более жёсткие ограничения в системе установлены. Какие
>>дополнительные ограничения устанавливаются юзеру?
>>
>>
> Внимательно смотрим в сторону того, что вы пишите "юзера", а вам пишут
> "юзеров".
Именно. Я пишу про Апачевского юзера. Кому надо внимательнее смотреть?
>
>>> 4. Даже с CGI-ем можно задосить сервак (Deny of Service), через
>>> FastCGI - сервер убить нельзя. Т.к. если не один из запущенных
>>> экземпляров интерпретатора не освободился к моменту очередного
>>> обращения, посетитель сайта (именно этого сайта) будет послан с ошибкой, сервер ничего делать
>>> не будет!
>>>
>>>
>>
>>Это не мешает устроить DoS другим путём, преимущество перед mod_php никакое.
>>
> Не конструктивно отказываться от преимущества, если оно не идеально.
Зато практично. Я исхожу из практики.
>>Бардак-с у Вас, батенька... :)
>>
> Ну так тоже не конструктивно. Господин изложил и в отличие от вас
> обосновал свою точку зрения. И будь хоть у него супербардак это никак не
> менят его аргументации и ценности его предложения.
Я обоснования не увидел. Увидел голые утверждения, что запуск пхп под
отдельным юзеровским экаунтом лучше и ссылки на секьюрити без
какого-либо чёткого обоснования чем это лучше.
С другой стороны, многие пхп-приложения не пойдут под любой его
CGI-версией. Хотя бы из-за того, что часть из них завязаны на $SCRIPT_NAME.
Я не верю, что FastCGI быстрее mod_php, а мониторинг секьюрити не
показывает серьёзных проблем с php или mod_php. Так же никто не привёл
никаких конкретных примеров, когда проблемы с безопасностью возникли по
причине работы mod_php+apache+use "apache". А голая теория меня не
интересует, я занимаюсь практикой.
> Кстати, оппоненты бывают еще и рыжими и ушастыми. Но лучше беседовать с
> умными в крапинку, чем с бестолковыми, но в галстуках.
Это верно. А ещё бывают такие, как в суппорте на вэльюхосте... Я к таким
не принадлежу. И никому не советовал бы им уподобляться: всё закрыто,
ничего нельзя, админ работает в консоли из под рута, а пароли юзеров
списками по Инету бегают... Зато у них как раз под отдельным юзером всё
работает.
На вещи надо смотреть реально. Те, кто сильно перестраховываются в одном
и гнут пальцы, обычно не додумывают в другом. Я сужу из опыта. Мой опыт
подсказывает, что автор первого письма сделал необоснованый выбор. Если
кто-то так не считает - его право следовать точке зрения того автора. Я
останусь при своей.
Дима.
More information about the TYPO3-russia
mailing list