[LUGOS] web server z full privilege separationom

Jure Pečar pegasus at nerv.eu.org
Tue Dec 1 12:54:44 CET 2009


On Tue, 01 Dec 2009 07:37:25 +0100
Rok Potočnik <r at rula.net> wrote:

> Jure Pečar wrote:
> > apache mpm itk si že pogledal?
> 
> glede na spletno stran nobena apache* resitev ni produkcijska...

Odvisno od definicije produkcijske rešitve.
Če gledaš kako telekomaško definicijo, potem velika večina opensource softvera ni produkcijska ;)

Če hočeš switcat uidje, potem moraš laufat kot root.

Če hočeš privilege separation ala openbsd, potem ti cel httpd laufa pod enim userjem in nima kej uid spreminjat. Takih je danes večina web serverjev. Itak kej več kot bind na port 80 nimajo za počet kot root.
V takem primeru si moraš omislit kako fastcgi rešitev. Konkretno vem da lahko pri php-fpm definiraš različne poole procesov na različnih portih/socketih, ki laufajo pod različnimi userji.


-- 

Jure Pečar
http://jure.pecar.org


More information about the lugos-list mailing list