Cpanel + nginx + mpm-itk + eaccelerator

Последствия вражеской атаки заставили нас реализовать давно задуманое: перенастроить сервер так, чтобы httpd выполнялся от имени конкретного пользователя.

Nginx и eaccelerator у нас давно настроен, оставалось разграничить пользователей. Попробовали сделать стандартными средствами, включенным в cpanel – и наткнулись на проблему: php должен быть установлен как CGI, и, соответственно, большинство сайтов стало выдавать 500 ошибку (из-за неподдерживаемых параметров в .htaccess).

Поэтому решено было использовать все-таки PHP как DSO и поставить mpm-itk.

При этом стандартными способами в Cpanel это сделать не так-то просто (по крайней мере у нас не получилось), и пришлось поковырять конфигурацию панельки изнутри.

Но результат того стоил:

  • теперь мы можем точно учитывать, кто сколько ресурсов потребляет, и оптимально распределять ресурсы
  • мы сохранили все возможности PHP как DSO
  • Работать с 1С-Битрикс теперь можно и по ftp, и через web интерфейс без проблем
  • Внутренности cpanel теперь нам не страшны :)

Ну и можем предложить свои услуги по настройке apache для 1С-Битрикс!

Автор поста: Петров Роман

Метки записи: , ,

Связанные записи:

4 Comments »

  1. Комментирует Pavel Labushev

    January 17, 2010 at 2:14 am

    У eaccelerator’а общий кэш в разделяемой памяти, к которому все потомки апача с mod_php имеют доступ на чтение/запись независимо от их UID/GID. Это открывает уязвимость к атакам на кэш скриптов: пользователь одного виртуалхоста может внедрить произвольный код в скрипты другого виртуалхоста. Решение проблемы без отказа от eaccelerator’а: обрабатывать скрипты каждого виртуалхоста процессами php-cgi в режиме FastCGI respoder’а; php-cgi запускать с UID/GID пользователей соответствующих виртуалхостов.

  2. Комментирует Nikolay Ulyanitsky

    May 1, 2010 at 3:27 pm

    Increase Apache Vhost Security With mpm-itk In RHEL/CentOS 5

    Комментарий от Ай Ти Констракт:
    по ссылке рассказывается (на английском языке) об установке mpm-itk на RedHat/Centos

  3. Комментирует Eduard Haritonov

    November 21, 2010 at 11:06 am

    Run As User (RAU 1.1.1)

    Разработано дополнение для панели Плеск, чтобы включать / выключать запуск скриптов от пользователей на любом домене. При этом спользуется mpm-itl или mod-ruid2 в завистмости от того, что из них установлено.

    Хотелось бы сделать что-нибудь подобное и для cPanel.

  4. Комментирует Петров Роман

    November 21, 2010 at 11:54 am

    Думаю, что это будет интересно хостерам. Многие используют Cpanel

Оставить комментарий

Также Вы можете войти используя: Yandex Google Facebook Вконтакте Twitter Mail.ru OpenID