[OT] Re: [Typo3-UG Russia] Hosting + php-accelerator
Michael Shigorin
mike at osdn.org.ua
Mon Jun 20 11:50:55 CEST 2005
Дмитрий,
добрый совет -- прекращайте Вы этот глупый флейм,
чесслово, мне за Вас стыдно.
On Fri, Jun 17, 2005 at 10:10:27PM +0300, Dmitry Dulepov wrote:
> >Да нет. Вы не понимаете что во что входит. Это в системе
> >запускается php, а не наоборот. Если вы сомневаетесь в
> >системной безопасности, то php в такой системе вообще не более
> >чем дырка от бублика.
> А я не говорил, что сомневаюсь в системной безопасности :) Это
> автор первого сообщения сомневается в безопасности пхп :)
Вообще довольно трудно сомневаться в том, чего по факту не
наблюдается. (д/з: cert.org php)
> >Потому, что к хостингу может потребоваться доступ через ssh,
> >ftp, со стороны web-менеджера, который может иметь собственные
> >дырки. И, главное, со стороны клиента-растяпы, от глупости
> >которого не должны страдать другие клиенты.
> Ну и что? Чем логин из под юзера лучше логина через Апаче в
> chroot-ed environment?
Это решение разных проблем, к тому же Вы явно не в теме -- апач в
чруте или бесполезен, или всё равно полсистемы туда же втаскивать
(а тогда уж лучше vserver, причём не первый год как).
> На данный момент не просто виртуальный "апач" а множество vps
> крутятся на хостинге моего бывшего шефа и ничего, проблем с
> производительностью нет. Всё живёт великолепно. Зависит от
> кривости рук того, кто настраивает систему.
От нагрузки зависит, причём действительно сильно -- по памяти.
У меня есть как перегруженный Duron 800/512M, который тянет
_вагон_ всего и ещё полдесятка не сильно загруженных сайтов
конкретно на TYPO3, так и 4*Xeon/1G, который под слэшдотом
прогибался максимум до 200 с хвостиком апачей -- успевали
отрабатывать, ну и канал 512K туда.
> >>Ничего не мешает это сделать на уровне Апача. К тогу же для
> >>Апачевского юзера обычно более жёсткие ограничения в системе
> >>установлены. Какие дополнительные ограничения устанавливаются
> >>юзеру?
> >Внимательно смотрим в сторону того, что вы пишите "юзера", а
> >вам пишут "юзеров".
> Именно. Я пишу про Апачевского юзера. Кому надо внимательнее смотреть?
Вам. apache, httpd, www-data или nobody для первого апача будет
один на всех, и ulimits, monit и протчая приходится накручивать
на всех скопом.
> >>Это не мешает устроить DoS другим путём, преимущество перед
> >>mod_php никакое.
> >Не конструктивно отказываться от преимущества, если оно не
> >идеально.
> Зато практично. Я исхожу из практики.
Неконструктивно, непрактично и попросту глупо, если ещё и
отстаивается из чистого упрямства. Админу это порок, а не
заслуга.
> Я обоснования не увидел. Увидел голые утверждения, что запуск
> пхп под отдельным юзеровским экаунтом лучше и ссылки на
> секьюрити без какого-либо чёткого обоснования чем это лучше.
Кто хотел -- тот прочёл много, кто знает -- тот кивал головой.
> Я не верю, что FastCGI быстрее mod_php, а мониторинг секьюрити
> не показывает серьёзных проблем с php или mod_php.
Ага, конечно. Бегом(!) на гугль, вот только то, что майнтейнер
нашего php в чанжлоге поотмечал:
+ CAN-2005-0524;
+ CAN-2005-0525;
+ CAN-2005-1042;
+ CAN-2005-1043;
> Так же никто не привёл никаких конкретных примеров, когда
> проблемы с безопасностью возникли по причине работы
> mod_php+apache+use "apache".
У меня таких не было, поскольку при всплывании шара по хостингу
для умников закончится (он спонсированный, но по голове не
погладим).
> А голая теория меня не интересует, я занимаюсь практикой.
Видите ли. Вы не обижайтесь, но у нас в конторе такое письмо
было бы существенным препятствием для кандидата в сотрудники.
Поскольку упёртые бараны -- они нигде не полезны, по себе знаю,
болел таким в детстве.
_Вам_ хлеб разжёванный дают, а Вы ещё плюётесь и учиться не
хотите. Ну так админьте себе виндовый хостинг на три странички.
> Я сужу из опыта. Мой опыт подсказывает, что автор первого
> письма сделал необоснованый выбор.
Сопоставление постингов и _своего_ опыта приводит к обратному
соображению, ну да выше уже и так достаточно несколько
персональных выпадов получилось. Во избежание дальнейшего позора
всё-таки рекомендовал бы тему закрыть как вкусовую, не дай Бог
в следующий раз при приёме на работу кто-нить дотошный погуглит
имечко.
> Если кто-то так не считает - его право следовать точке зрения
> того автора. Я останусь при своей.
Ну так всегда имеете право.
> Я три года работал администратором хостинга (там был и пхп). За
> это время не было ни одного взлома... Я отвечал за виндовый
> хостинг (кстати, гораздо более "способный" к взлому). Так что о
> деталях я знаю достаточно хорошо. Поэтому и интересуюсь.
Вы знаете о деталях с одной стороны. И если бы плотно занимались
перловым хостингом на *NIX -- таких бы перлов тут не откалывали.
> Вопросы безопасности я отслеживаю непрерывно с 1997 года.
Угу, TB 1.0 об этом тоже говорит. :(
--
Миша,
устало грустя
More information about the TYPO3-russia
mailing list