apache directive User, SuexecUserGroup, AssignUserID

[xooops]

ich habe apache unter linux installiert und will mehrere websites von verschiedenen usern serven. dazu habe ich den apache mit name-based virtual hosts konfiguriert. den apache lasse ich als root laufen, will aber, dass beim serven einer website dieser prozess unter demjenigen user laeuft, der diese website anbietet. grund: beim ausfuehren von php soll das php-script natuerlich nur die rechte des jeweiligen users haben, ansonsten koennte per php z.b. in andere directories geschrieben und z.b. andere websites defact werden, usw..

laut apache-doc geht das nicht mit der globalen direktive User, weil sie nicht im VirtualHost-block angegeben werden darf. jetzt habe ich die direktive AssignUserID gefunden, aber laut doc ist sie vom modul perchild und es heisst, this module is not functional.

und mit der direktive SuexecUserGroup gehts auch nicht, da sie nur fuer CGI ist. php ist non-CGI und wuerde weiterhin unter root laufen, was doch scheisse ist.

wer hat erfahrung mit multi-threading unter apache mit versch. usern und kann mir weiterhelfen ?

thx, xooops

[meikel (†)]

suPHP

[xooops]

thx meikel, aber was ist mit beliebigen cgi-programmen ? wie lasse ich die unter non-root laufen ??

ooooooops.

[meikel (†)]

Zitat:

Zitat von xooops

thx meikel, aber was ist mit beliebigen cgi-programmen ? wie lasse ich die unter non-root laufen ??

Wieso loft Dein Apache überhaupt als root:root und nicht als (zb) wwwrun:www?

[xabbuh]

Zitat:

Zitat von xooops

thx meikel, aber was ist mit beliebigen cgi-programmen ? wie lasse ich die unter non-root laufen ??

Schon mal suEXEC angesehen?

Zudem bleibt natürlich schon die von meikel gestellte Frage, warum dein Apache als Root läuft.

[xooops]

mein apache lass ich unter root laufen, weils so im manual steht. sonst klappt SuexecUserGroup nicht, was fuer die cgi-scripts wichtig ist. das heisst, ich muss apache unter einem user laufen lassen, der suexec ausfuehren darf.

fuer php ist das aber noch nicht die loesung, weil php nicht als externes cgi-programm laeuft. oder irre ich mich ?

[xooops]

Zitat:

Zitat von meikel

Wieso loft Dein Apache überhaupt als root:root und nicht als (zb) wwwrun:www?

was fuer rechte haette denn wwwrun ? er muss ja auch in jedes documentroot schreiben duerfen, sonst koennen die php-scripts ja nicht auf dateien schreiben. oder ?

[meikel (†)]

Zitat:

Zitat von xooops

was fuer rechte haette denn wwwrun ?

Die eines "Popelusers". Den Apachen als Root laufen zu lassen, wäre ein sehr hohes Risiko. IdR. weigert sich der Apache auch, mit Root-Rechten zu arbeiten.

Zitat:

er muss ja auch in jedes documentroot schreiben duerfen, sonst koennen die php-scripts ja nicht auf dateien schreiben. oder ?

Genau das ist ja das Problem mit dem PHP Modul:
der User, der das Script ausführt, ist ein anderer als der User, dem das Verzeichnis gehört.
Das kann umgangen werden, indem jeder User seine Verzeichnisse auf 0777 und alle Dateien auf 0666 setzt.

Natürlich muß hier open_basedir für jedem Virtualhost separat gesetzt werden, damit PHP "nicht in fremden Revieren wildern kann".

Anders ist es bei der CGI Version. Da wird via suexec der PHP Interpreter mit den im Virtualhost angegebenem User gestartet. Und genau das ist eben auch ein Problem, weil man wesentlich mehr Speicher braucht.