Onderwerp: Waarom de een of ander? [mod_suid / mod_fcgid + suexec + php_cgi]

Voor een webserver ben ik aan het kijken wat het beste werkt voor veilige php (en evt. Perl) ondersteuning in de vhosts. Er nu een topic over mod_suid(2) en mod_ruid, maar waarom zijn die beter dan mod_fcgid + suexec + php?

Op een Debian Etch test systeem lukt het wel om mod_fcgid en php met suexec nu werkend te krijgen, maar gewone CGI bestanden willen nu niet werken. Heeft iemand een goede tutorial over hoe dit aan de gang te krijgen op Debian?

Ik krijg het niet voor elkaar om .cgi bestanden en .php bestanden tegelijk te laten werken. Het is één van beide die werkt via fcgid en suexec.

PHP werkt niet als ik alleen FCGIWrapper "/path/naar/wrapper" .php instel, maar ik heb ook SetHandler fcgid-script nodig.
Maar als ik die laatste zet in mijn Vhost dan kapt de cgi ondersteuning weer.

In verkorte vorm bevat mijn huidige vhost:
<VirtualHost *>

....
SuexecUserGroup user group
<Directory /var/www>
SetHandler fcgid-script
FCGIWrapper "/var/www/php-wrapper" .php

Options .... ExecCGI
</Directory>
</VirtualHost>

Wie weet waar ik mijn oplossing moet zoeken? Ik heb al een beetje teveel geprobeerd om nog te weten wat ik niet heb gedaan

Niemand die hier wat over weet? Dat terwijl er een topic is over mod_suid2 en mod_ruid...

Ik heb zelf wel gemerkt dat met fastcgi er een behoorlijke load op de server komt. Dus dat is niet echt ideaal. Ook dat je HTML bestanden wel door de webserver gelezen moeten kunnen worden is niet echt makelijk. Je moet dan verschil maken met chmod voor je PHP en HTML bestanden.
Voordeel is wel volgens mij dat je minder problemen hebt met exploits om root te krijgen.
Meer mensen die nog voor en nadelen weten? En heeft iemand nog tips voor de install van mod_ruid, zoals hoe PHP te compilen?

Oorspronkelijk geplaatst door _HB_

Niemand die hier wat over weet? Dat terwijl er een topic is over mod_suid2 en mod_ruid...

Ik heb zelf wel gemerkt dat met fastcgi er een behoorlijke load op de server komt. Dus dat is niet echt ideaal. Ook dat je HTML bestanden wel door de webserver gelezen moeten kunnen worden is niet echt makelijk. Je moet dan verschil maken met chmod voor je PHP en HTML bestanden.
Voordeel is wel volgens mij dat je minder problemen hebt met exploits om root te krijgen.
Meer mensen die nog voor en nadelen weten? En heeft iemand nog tips voor de install van mod_ruid, zoals hoe PHP te compilen?

Een iets wat minder subtiele kick, maar onderstaande zou moeten werken.

Code:

LoadModule fcgid_module libexec/apache22/mod_fcgid.so
AddHandler fcgid-script .php
AddHandler fcgid-script .pl

PHP_Fix_Pathinfo_Enable 1

<Virtualhost *:80>
        ServerName      domein.com
        DocumentRoot    /home/admin/web
        ErrorLog        /home/admin/error_log
        CustomLog       /home/admin/access_log common
        SuexecUserGroup admin admin

        <Directory />
                FCGIWrapper /home/admin/fcgi-bin/php5 .php
                AddHandler cgi-script .cgi .pl
                Options ExecCGI
                Options +Indexes +FollowSymLinks
                Allow From All
                AllowOverride All
        </Directory>
        <Directory /home/*/web/_private>
                Options -Indexes
                Order Deny,Allow
                Deny from All
        </Directory>

</Virtualhost>

Waarbij je wrapper bijvoorbeeld bestaat uit:

Code:

#!/bin/sh
PHPRC="/home/admin"
export PHPRC
PHP_FCGI_CHILDREN=8
export PHP_FCGI_CHILDREN
PHP_FCGI_MAX_REQUESTS=5000
export PHP_FCGI_MAX_REQUESTS
exec /usr/local/bin/php-cgi

Uiteraard zijn alle bestanden onder /home/admin gechowned met de rechten van het uid/gid van de files owner.