[Typo3-UG Russia] Hosting + php-accelerator

[Dmitry Dulepov]

Привет!

Aleksey Barabanov wrote:
> Да нет. Вы не понимаете что во что входит. Это в системе запускается 
> php, а не наоборот. Если вы сомневаетесь в системной безопасности, то 
> php в такой системе вообще не более чем дырка от бублика.

А я не говорил, что сомневаюсь в системной безопасности :) Это автор 
первого сообщения сомневается в безопасности пхп :)

> Потому, что к хостингу может потребоваться доступ через ssh, ftp, со 
> стороны web-менеджера, который может иметь собственные дырки. И, 
> главное, со стороны клиента-растяпы, от глупости которого не должны 
> страдать другие клиенты.

Ну и что? Чем логин из под юзера лучше логина через Апаче в chroot-ed 
environment?

>>В конце концов, можно сделать chroot-ed environment, будет доступ только
>>к самому Апачу и каталогу пользователя...
>>
> И всем кто туда залогинятся.
> 
> Значит вам придется делать виртуальный апач.
> 
> Ну сложите два + два и догадайтесь, что апач "тяжелее" чем просто FastCGI.

На данный момент не просто виртуальный "апач" а множество vps крутятся 
на хостинге моего бывшего шефа и ничего, проблем с производительностью 
нет. Всё живёт великолепно. Зависит от кривости рук того, кто 
настраивает систему.

> А не в том дело , что имеют, а в том, что могут получить.

Нет, дело не в том, что юзеры гипотетически могут, а в том, что 
большиство их реально имеет, т.к. именно из этого исходят, когда 
планируют ресурсы и политику системы.

>>А в чём проблема с параллельным выполнением кода в пхп?
>>
> См. выше. Это к вопросу, что в чем работает.

Давайте конеретнее, на пальцах. Расскажите о недостатках параллельного 
исполнения кода пхп. За многие годы я что-то в контексте безопасности об 
этом не слышал. Видимо, это сокровенное знание есть у Вас и автора 
первого сообщения :)

>>>  3. Код выполняется в системном окружении пользователя и подчиняется
>>>  системным ограничениям и правам установленным для него, т.е. UNIX
>>>  обеспечивает безопасность.
>>
>>Ничего не мешает это сделать на уровне Апача. К тогу же для Апачевского
>>юзера обычно более жёсткие ограничения в системе установлены. Какие
>>дополнительные ограничения устанавливаются юзеру?
>>  
>>
> Внимательно смотрим в сторону того, что вы пишите "юзера", а вам пишут 
> "юзеров".

Именно. Я пишу про Апачевского юзера. Кому надо внимательнее смотреть?

> 
>>>  4. Даже с CGI-ем можно задосить сервак (Deny of Service), через
>>>  FastCGI - сервер убить нельзя. Т.к. если не один из запущенных
>>>  экземпляров интерпретатора не освободился к моменту очередного
>>>  обращения, посетитель сайта (именно этого сайта) будет послан с ошибкой, сервер ничего делать
>>>  не будет!
>>>    
>>>
>>
>>Это не мешает устроить DoS другим путём, преимущество перед mod_php никакое.
>>
> Не конструктивно отказываться от преимущества, если оно не идеально.

Зато практично. Я исхожу из практики.

>>Бардак-с у Вас, батенька... :)
>>
> Ну так тоже не конструктивно. Господин изложил и в отличие от вас 
> обосновал свою точку зрения. И будь хоть у него супербардак это никак не 
> менят его аргументации и ценности его предложения.

Я обоснования не увидел. Увидел голые утверждения, что запуск пхп под 
отдельным юзеровским экаунтом лучше и ссылки на секьюрити без 
какого-либо чёткого обоснования чем это лучше.

С другой стороны, многие пхп-приложения не пойдут под любой его 
CGI-версией. Хотя бы из-за того, что часть из них завязаны на $SCRIPT_NAME.

Я не верю, что FastCGI быстрее mod_php, а мониторинг секьюрити не 
показывает серьёзных проблем с php или mod_php. Так же никто не привёл 
никаких конкретных примеров, когда проблемы с безопасностью возникли по 
причине работы mod_php+apache+use "apache". А голая теория меня не 
интересует, я занимаюсь практикой.

> Кстати, оппоненты бывают еще и рыжими и ушастыми. Но лучше беседовать с 
> умными в крапинку, чем с бестолковыми, но в галстуках.

Это верно. А ещё бывают такие, как в суппорте на вэльюхосте... Я к таким 
не принадлежу. И никому не советовал бы им уподобляться: всё закрыто, 
ничего нельзя, админ работает в консоли из под рута, а пароли юзеров 
списками по Инету бегают... Зато у них как раз под отдельным юзером всё 
работает.

На вещи надо смотреть реально. Те, кто сильно перестраховываются в одном 
и гнут пальцы, обычно не додумывают в другом. Я сужу из опыта. Мой опыт 
подсказывает, что автор первого письма сделал необоснованый выбор. Если 
кто-то так не считает - его право следовать  точке зрения того автора. Я 
останусь при своей.

Дима.