2 Instanzen von Apache - geht das, wenn ja - wie?

Robert Schulze rob at rob-schulze.de
Do Dez 10 17:53:32 CET 2009


Hi,

Hans-Dietrich Kirmse schrieb:

>> Trotzdem ist suexec hier einfacher anzuwenden und bringt nebenbei _noch_
>> mehr Sicherheit zumindest für die Schüler untereinander. Die
>> Konfiguration des PHP würde dabei identisch sein.
> 
> Verstehe ich dich richtig - du meinst einen Apache, statt PHP als Modul
> eben alles auf CGI-Basis über suexec aufgerufen?

ja.

> Dann müssen aber doch auch die Programme wie Wiki (hier Mediawiki - wird
> für Schule gebraucht wegen Teamarbeit) und fürs CMS als Schulportal
> (hier Contenido - zur Bereitstellung von Bildern über Berichte von
> Veranstaltungen ...) und nicht zuletzt eines LMS (hier Moodle - habe ich
> keine Erfahrung damit, steht aber schon bereit) - dass muss doch dann
> alles auch per CGI und suexec aufgerufen werden. Oder irre ich mich da?

Mediawiki/Contenido und Co. würden dann unter suexec laufen (naja: der
PHP-Interpreter läuft unter suexec und führt halt die Skripte aus).

> Ich sehe hier echte Performance-Probleme. (ist aber einfach "aus dem
> Bauch heraus" - ich weiss es nicht wirklich) 

Wie gesagt: Humbug bei so einem kleinen Setup, das kann ich aus
Erfahrung behaupten. Du wirst da keinen Unterschied feststellen.

> Aber
> das Anliegen, eben die Sicherheit trotz PHP in den Userdirs zu
> gewährleisten, wäre aus meiner Sicht erreicht.

dann läuft PHP unter der UID des Apachen. Wenn kein Dateisystemzugriff
benötigt wird, also alles über eine Datenbankanbindung geschiet, dann
mag man dies noch verzeihen, weil der Apache dann keine
Schreibberchtigung in den Userdirs braucht. Wenn auch Dateizugriff über
PHP möglich sein soll, dann viel Spaß mit den Schülern, die sich
gegenseitig ihre Dateien weglöschen.

Rob