[sisyphus] Re: php cgi

Ср Дек 10 10:06:04 MSK 2003

On Wed, 10 Dec 2003 09:31:52 +0300
Прокопьев Евгений <john на rmts.donpac.ru> wrote:

> Alexey Gladkov пишет:
> 
> > On Tue, Dec 09, 2003 at 04:22:54PM +0300, Klimchev Konstantin wrote:
> > 
> >>Добрый день!
> >>
> >>есть suphp (http://suphp.org) - интересная штучка для запуска php-скриптов с правами пользователя.
> >>
> >>Но проблема в том, что для ее работы нужно при сборке php опции --enable-cgi и --disable-cli. 
> >>Сравнивалось для php из мастера и самосборный php - на мастеровском не работает.
> >>
> >>Собственно вопрос - нельзя ли на будущее предусмотреть при сборке php создание cgi-субпакета?
> >>
> > 
> > 
> > Он предусмотрен... сейчас mod_php и php собираются отдельно, хотя и из
> > одних исходников. Вы можете собрать cgi отдельно. Если будут проблемы
> > обращайтесь.
> 
> у меня проблемы были, но я собирал cgi из мастеровского php. Комментирую 
> --with-apxs и при сборке получаю:
> ...
> /bin/sh libtool --silent --mode=link gcc -pipe -Wall -O2 
> -fexpensive-optimizations -march=i686 -fPIC -prefer-non-pic -static 
> -rpath /usr/lib    sapi/cgi/cgi_main.lo sapi/cgi/getopt.lo 
> main/internal_functions.lo -lnsl -lexpat -lmm -lz -lcrypt -lresolv -lm 
> -ldl -lnsl -lcrypt libphp4common.la -o libphp4.la
> Installing PHP SAPI module
> make: [install-sapi] Error 1 (ignored)
> install: cannot stat `.libs/libphp4.so': No such file or directory
> make: *** [install-sapi] Error 1
> ошибка: Неверный код возврата из /home/john/tmp/rpm-tmp.50412 (%install)
> 
> Как я понял, надо комментировать/отключать сборку sapi, но где и как в 
> спеке правильно это сделать - не понял.
> 
> Хотя бинарник php cgi у меня, конечно, собрался :)
> 
> > Но я бы вам не советовал собирать и использовать этот модуль. Он suid-ный
> > что мне лично не нравится ... 
> 
> А чем это по функциональности и безопасности отличается от апачевского 
> suexec?
заточено под php - это про функциональность, работает апачевским модулем. Враппер одним словом над php. Проще в конфигурировании, хотя и suexec не сложно (делов то, прописать Action). Можно отключать для некоторых виртуальных хостов (например, если нужен mod_php) а для других оставить и вроде как подсовывать различные php.ini для различных виртуальных хостов.

Про безопасность - сложно сказать - сильнее или слабее suexec. Это скорее еще и к php в cgi-режиме. DocumentRoot и остальное в php-cgi-safemode отрабатывает. Он suid'ный, но по этому я уже сказал - повторяться не буду
> 
> Может ли этот suphp помочь решить следующую проблему - 
> http://altlinux.ru/pipermail/community/2003-November/105073.html?

>Если включить safe_mode=on в php.ini, то очевидно, что никто не помешает 
>пользователю выключить его, то же касается любых вариантов ограничить
>действия пользователя средствами php.

Я не большой специалист по php, подскажите - как это организовать, чтобы проверить. Я представляю как это сделать для mod_php (через переменные php_admin_flag и php_admin_value в описании виртуального хоста), но не представляю как для php-cgi

> 
> -- 
> С уважением, Прокопьев Евгений
> 
> _______________________________________________
> Sisyphus mailing list
> Sisyphus на altlinux.ru
> http://altlinux.ru/mailman/listinfo/sisyphus
> 

-- 
Best Regards, Konstantin Klimchev 
(mailto:koka на atvc.ru    jabber:koka на jabber.ru)
ATK-Internet ISP, Arkhangelsk, Russia