[OT] Re: [Typo3-UG Russia] Hosting + php-accelerator

Michael Shigorin mike at osdn.org.ua
Mon Jun 20 11:50:55 CEST 2005 

	Дмитрий,
добрый совет -- прекращайте Вы этот глупый флейм,
чесслово, мне за Вас стыдно.

On Fri, Jun 17, 2005 at 10:10:27PM +0300, Dmitry Dulepov wrote:
> >Да нет. Вы не понимаете что во что входит. Это в системе
> >запускается php, а не наоборот. Если вы сомневаетесь в
> >системной безопасности, то php в такой системе вообще не более
> >чем дырка от бублика.
> А я не говорил, что сомневаюсь в системной безопасности :) Это
> автор первого сообщения сомневается в безопасности пхп :)

Вообще довольно трудно сомневаться в том, чего по факту не
наблюдается. (д/з: cert.org php)

> >Потому, что к хостингу может потребоваться доступ через ssh,
> >ftp, со стороны web-менеджера, который может иметь собственные
> >дырки. И, главное, со стороны клиента-растяпы, от глупости
> >которого не должны страдать другие клиенты.
> Ну и что? Чем логин из под юзера лучше логина через Апаче в
> chroot-ed environment?

Это решение разных проблем, к тому же Вы явно не в теме -- апач в
чруте или бесполезен, или всё равно полсистемы туда же втаскивать
(а тогда уж лучше vserver, причём не первый год как).

> На данный момент не просто виртуальный "апач" а множество vps
> крутятся на хостинге моего бывшего шефа и ничего, проблем с
> производительностью нет. Всё живёт великолепно. Зависит от
> кривости рук того, кто настраивает систему.

От нагрузки зависит, причём действительно сильно -- по памяти.
У меня есть как перегруженный Duron 800/512M, который тянет
_вагон_ всего и ещё полдесятка не сильно загруженных сайтов
конкретно на TYPO3, так и 4*Xeon/1G, который под слэшдотом
прогибался максимум до 200 с хвостиком апачей -- успевали
отрабатывать, ну и канал 512K туда.

> >>Ничего не мешает это сделать на уровне Апача. К тогу же для
> >>Апачевского юзера обычно более жёсткие ограничения в системе
> >>установлены. Какие дополнительные ограничения устанавливаются
> >>юзеру?
> >Внимательно смотрим в сторону того, что вы пишите "юзера", а
> >вам пишут "юзеров".
> Именно. Я пишу про Апачевского юзера. Кому надо внимательнее смотреть?

Вам.  apache, httpd, www-data или nobody для первого апача будет
один на всех, и ulimits, monit и протчая приходится накручивать
на всех скопом.

> >>Это не мешает устроить DoS другим путём, преимущество перед
> >>mod_php никакое.
> >Не конструктивно отказываться от преимущества, если оно не
> >идеально.
> Зато практично. Я исхожу из практики.

Неконструктивно, непрактично и попросту глупо, если ещё и
отстаивается из чистого упрямства.  Админу это порок, а не
заслуга.

> Я обоснования не увидел. Увидел голые утверждения, что запуск
> пхп под отдельным юзеровским экаунтом лучше и ссылки на
> секьюрити без какого-либо чёткого обоснования чем это лучше.

Кто хотел -- тот прочёл много, кто знает -- тот кивал головой.

> Я не верю, что FastCGI быстрее mod_php, а мониторинг секьюрити
> не показывает серьёзных проблем с php или mod_php.

Ага, конечно.  Бегом(!) на гугль, вот только то, что майнтейнер
нашего php в чанжлоге поотмечал:

  + CAN-2005-0524;
  + CAN-2005-0525;
  + CAN-2005-1042;
  + CAN-2005-1043;

> Так же никто не привёл никаких конкретных примеров, когда
> проблемы с безопасностью возникли по причине работы
> mod_php+apache+use "apache".

У меня таких не было, поскольку при всплывании шара по хостингу
для умников закончится (он спонсированный, но по голове не
погладим).

> А голая теория меня не интересует, я занимаюсь практикой.

Видите ли.  Вы не обижайтесь, но у нас в конторе такое письмо
было бы существенным препятствием для кандидата в сотрудники.
Поскольку упёртые бараны -- они нигде не полезны, по себе знаю,
болел таким в детстве.

_Вам_ хлеб разжёванный дают, а Вы ещё плюётесь и учиться не
хотите.  Ну так админьте себе виндовый хостинг на три странички.

> Я сужу из опыта. Мой опыт подсказывает, что автор первого
> письма сделал необоснованый выбор.

Сопоставление постингов и _своего_ опыта приводит к обратному
соображению, ну да выше уже и так достаточно несколько
персональных выпадов получилось.  Во избежание дальнейшего позора
всё-таки рекомендовал бы тему закрыть как вкусовую, не дай Бог 
в следующий раз при приёме на работу кто-нить дотошный погуглит
имечко.

> Если кто-то так не считает - его право следовать  точке зрения
> того автора. Я останусь при своей.

Ну так всегда имеете право.

> Я три года работал администратором хостинга (там был и пхп). За
> это время не было ни одного взлома... Я отвечал за виндовый
> хостинг (кстати, гораздо более "способный" к взлому). Так что о
> деталях я знаю достаточно хорошо. Поэтому и интересуюсь.

Вы знаете о деталях с одной стороны.  И если бы плотно занимались
перловым хостингом на *NIX -- таких бы перлов тут не откалывали.

> Вопросы безопасности я отслеживаю непрерывно с 1997 года.
 
Угу, TB 1.0 об этом тоже говорит. :(

-- 
Миша,
устало грустя

More information about the TYPO3-russia mailing list