הפרדה בין משתמשים באפאצ׳י - הוסטס

hatul · 20-03-12, 18:07

התקנתי שרת אפאצ׳י על VPS עם Centos עם כמה משתמשים ויש לי כמה שאלות.

1. איך אני מונע ממשתמש לגשת לתיקיית הבית של משתמש אחר? הרי אני צריך לתת הרשאות למשתמש של אפאצ׳י על תיקיות הבית וזה יאפשר גם למשתמשים אחרים במערכת לגשת לתיקיות.

2. בהנחה שפתרתי את שאלה 1, איך אני מונע משתמשים להריץ קוד (נגיד PHP) שייגש לתיקיות של המשתמשים האחרים? מי שיריץ את הקוד הוא אפאצ׳י ולו יש הרשאות גישה.

אני מריץ שרת קטן עם כמה מערכות ווב והמטרה שפריצה לאחת המערכות לא תפגע במערכת אחרת.
ניסיתי להגדיר הפרדה כזו בעזרת webmin אבל הוא דורש מודול בשם virtualmin שלא ניתן להפעלה על Centos.

קראתי גם הרבה על chroot אבל ראיתי שיש הרבה דרכים והן לא פשוטות ובנוסף הבנתי שזה לא יפריד בין המשתמשים אלא רק ימנע מהם גישה לתיקיות של רוט.

אודה להכוונה.

**yonatan** · 20-03-12, 18:49

1. chown/chmod
2. suphp

hatul · 21-03-12, 10:09

תודה, אבל:
1. כמובן שאני מגביל הרשאות אבל אני רוצה שמשתמש לא יוכל לקרוא קבצים של משתמש אחר ולפעמים גם לתת הרשאות כתיבה לאפאצ׳י בלי לאפשר כתיבה למשתמש אחר.
2. אני אבדוק את זה. אבל זה נראה ישן ולא מתעדכן, אין בעיה אתו?

zoharesh · 21-03-12, 19:40

תגגל על mod_ruid2
ואין בעיה עם suphp חוץ מזה שהוא קצת איטי (מחייב שימוש בPHP כ-cgi).

בניה · 22-03-12, 12:51

להתקין את PHP כFCGI ולהשתמש בPHP-FPM.
להגדיר לכל אפליקציה/דומיין POOL שונה של פרוססים וכל POOL ירוץ על יוזר שונה
אני גם הייתי מחליף את הAPACHE בNGINX

hatul · 28-03-12, 10:59

תודה על כל העצות.
suphp היה קצת אטי ועברתי להשתמש ב־fcgid לפי ההוראות ב http://www.howtoforge.com/how-to-set...-on-centos-5.2

זה עובד מצוין חוץ מבעיה אחת. אי אפשר לגלוש אל phpmyadmin ולמרות שניסיתי להגדיר אותו לרוץ דרך fcgid לא הצלחתי לעשות זאת.
זה חשוב לי לפתור.

בניה · 28-03-12, 15:19

ציטוט:

נכתב במקור על ידי hatul

תודה על כל העצות.
suphp היה קצת אטי ועברתי להשתמש ב־fcgid לפי ההוראות ב http://www.howtoforge.com/how-to-set...-on-centos-5.2

זה עובד מצוין חוץ מבעיה אחת. אי אפשר לגלוש אל phpmyadmin ולמרות שניסיתי להגדיר אותו לרוץ דרך fcgid לא הצלחתי לעשות זאת.
זה חשוב לי לפתור.

הגדרת אותו בספריה גלובאלית anydoamin.com/phpmyadmin?
תעלה את הקובץ הגדרות שלך לpastebin ותן פה קישור.
תמחק פרטים שעלולים להיות פרצת אבטחה

hatul · 29-03-12, 09:37

תודה, הנה הם.
נסיתי כרגע להגדיר את phpmyadmin בתור VirtualHost נוסף ויצרתי קישור סימבולי מ־/var/www/phpmyadmin/web אל /usr/share/phpmyadmin אבל אז אני מקבל את דף בררת המחדל של אפאצ׳י. קראתי איפשהו שזה אמור לעבוד.
בלי VirtualHost הצלחתי לטעון את הדף הראשי של phpmyadmin אבל הוא לא רץ בשרת והוצג לי כל הקוד שלו.

httpd.conf
http://pastebin.com/ztz4aXUF
phpmyadmin.conf
http://pastebin.com/wuNPxtvc

Kernel · 29-03-12, 13:31

תשנה את:
keepalive ל-on.
directoryindex - שים את index.php ראשון.
ServerTokens ל-Prod

זה אומנם לא קשור לבעיה שציינת כאן, אבל זה ישפר את הביצועים.

zoharesh · 01-04-12, 21:39

בעיקרון אם אתה רואה את תוכן הקובץ (php) במקום את התוצר המגומר שאמור להיות סימן ש-php לא רץ כמו שצריך.
מהצצה בקובץ הראשון שאליו קישרת, לא טענת את mod_fcgid (למרות שיכול להיות שהוא נטען באחד מקבצי הקונפיגורציה האחרים שלך).

ולגבי הקובץ השני לא ברור לי למה אתה צריך אותו כשיש לך בקובץ הראשון את זה:

ציטוט:

<VirtualHost *:80>
ServerName pma.site1.com
ServerAdmin info@site1.com
DocumentRoot /var/www/phpmyadmin/web

<IfModule mod_fcgid.c>
SuexecUserGroup phpmyadmin phpmyadmin
PHP_Fix_Pathinfo_Enable 1
<Directory /var/www/phpmyadmin/web>
DirectoryIndex index.php
Options +ExecCGI +FollowSymLinks
AllowOverride All
AddHandler fcgid-script .php
FCGIWrapper /var/www/php-fcgi-scripts/phpmyadmin/php-fcgi-starter .php
Order allow,deny
Allow from all
</Directory>
</IfModule>

# ErrorLog /var/log/apache2/error.log
# CustomLog /var/log/apache2/access.log combined
ServerSignature Off

</VirtualHost>

בכל אופן, אני מציע לך לעשות שימוש בmod_ruid2 + mod_php.
ולמען הסדר הטוב, עדיף לך להגדיר לכל דומיין / משתמש קובץ קונפיגורציה משלו ולאנקלד אותו בקובץ הראשי.

20-03-12, 18:07	# 1
hatul חבר חדש דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Mar 2012 הודעות: 7	הפרדה בין משתמשים באפאצ׳י התקנתי שרת אפאצ׳י על VPS עם Centos עם כמה משתמשים ויש לי כמה שאלות. 1. איך אני מונע ממשתמש לגשת לתיקיית הבית של משתמש אחר? הרי אני צריך לתת הרשאות למשתמש של אפאצ׳י על תיקיות הבית וזה יאפשר גם למשתמשים אחרים במערכת לגשת לתיקיות. 2. בהנחה שפתרתי את שאלה 1, איך אני מונע משתמשים להריץ קוד (נגיד PHP) שייגש לתיקיות של המשתמשים האחרים? מי שיריץ את הקוד הוא אפאצ׳י ולו יש הרשאות גישה. אני מריץ שרת קטן עם כמה מערכות ווב והמטרה שפריצה לאחת המערכות לא תפגע במערכת אחרת. ניסיתי להגדיר הפרדה כזו בעזרת webmin אבל הוא דורש מודול בשם virtualmin שלא ניתן להפעלה על Centos. קראתי גם הרבה על chroot אבל ראיתי שיש הרבה דרכים והן לא פשוטות ובנוסף הבנתי שזה לא יפריד בין המשתמשים אלא רק ימנע מהם גישה לתיקיות של רוט. אודה להכוונה.

20-03-12, 18:49	# 2
yonatan I am root דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: אשדוד גיל: 38 הודעות: 3,910	1. chown/chmod 2. suphp __________________ אחסון אתרים - Red Hat Certified עקבו אחרינו בטוויטר!

21-03-12, 19:40	# 4
zoharesh חבר מתקדם דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Dec 2007 הודעות: 600	תגגל על mod_ruid2 ואין בעיה עם suphp חוץ מזה שהוא קצת איטי (מחייב שימוש בPHP כ-cgi). __________________ HIGHDESIGN.co.il עיצוב ובניית אתרים. Last edited by zoharesh; 21-03-12 at 19:43..

22-03-12, 12:51	# 5
בניה משתמש - היכל התהילה דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: נחושה הודעות: 3,434	להתקין את PHP כFCGI ולהשתמש בPHP-FPM. להגדיר לכל אפליקציה/דומיין POOL שונה של פרוססים וכל POOL ירוץ על יוזר שונה אני גם הייתי מחליף את הAPACHE בNGINX __________________ קו ישר, כי אפשר גם אחרת

29-03-12, 13:31	# 9
Kernel אושיית הוסטינג דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: בקעת אונו הודעות: 2,429	תשנה את: keepalive ל-on. directoryindex - שים את index.php ראשון. ServerTokens ל-Prod זה אומנם לא קשור לבעיה שציינת כאן, אבל זה ישפר את הביצועים. __________________ אבי


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

21-03-12, 10:09	# 3
hatul חבר חדש דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Mar 2012 הודעות: 7	תודה, אבל: 1. כמובן שאני מגביל הרשאות אבל אני רוצה שמשתמש לא יוכל לקרוא קבצים של משתמש אחר ולפעמים גם לתת הרשאות כתיבה לאפאצ׳י בלי לאפשר כתיבה למשתמש אחר. 2. אני אבדוק את זה. אבל זה נראה ישן ולא מתעדכן, אין בעיה אתו?

28-03-12, 10:59	# 6
hatul חבר חדש דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Mar 2012 הודעות: 7	תודה על כל העצות. suphp היה קצת אטי ועברתי להשתמש ב־fcgid לפי ההוראות ב http://www.howtoforge.com/how-to-set...-on-centos-5.2 זה עובד מצוין חוץ מבעיה אחת. אי אפשר לגלוש אל phpmyadmin ולמרות שניסיתי להגדיר אותו לרוץ דרך fcgid לא הצלחתי לעשות זאת. זה חשוב לי לפתור.

29-03-12, 09:37	# 8
hatul חבר חדש דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Mar 2012 הודעות: 7	תודה, הנה הם. נסיתי כרגע להגדיר את phpmyadmin בתור VirtualHost נוסף ויצרתי קישור סימבולי מ־/var/www/phpmyadmin/web אל /usr/share/phpmyadmin אבל אז אני מקבל את דף בררת המחדל של אפאצ׳י. קראתי איפשהו שזה אמור לעבוד. בלי VirtualHost הצלחתי לטעון את הדף הראשי של phpmyadmin אבל הוא לא רץ בשרת והוצג לי כל הקוד שלו. httpd.conf http://pastebin.com/ztz4aXUF phpmyadmin.conf http://pastebin.com/wuNPxtvc

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)