Nik8.

Тестируем мой патч для apache-2.2.2 для работы форка потомков apache под своим юзером
как следствие выполнение php скриптов(mod_php), cgi с правами вхоста.

Сообшаем об ошибках если таковы обнаружатся.


Патч тестирован и стабильно работает уже 2-3 месяц на моем сервере


Требования в httpd.conf

MaxRequestsPerChild 1 //это ОБЯЗАТЕЛЬНО иначе на 2 разе использования процесса, у него уже не хватит прав вызвать setuid т.к вызов уже был произведен.
// тут большой риск, если выйдет сплоит..., который сработает до вызова vhost_align(что маловероятно), но уж лучше это чем
// тот риск и проблемы когда все vhosts работают от 1 юзера)
User root
Group wheel




В секции каждого virtualhost указываем:
<VirtualHost *:80>
...
ServerUser Сушествуюший юзер на сервере
ServerGroup сушествуюшая группа на сервере
</VirtualHost>

ну и как результат имеем


# ps -axu | grep httpd
root 38236 0.0 2.4 16644 10968 ?? Ss 9Jan07 16:35.74 /usr/local/apache/bin/httpd -k resta
gooz 51440 0.0 3.2 20020 14368 ?? S 8:25AM 0:05.72 /usr/local/apache/bin/httpd -k resta
xforum 56430 0.0 2.5 16900 11040 ?? S 9:12AM 0:00.00 /usr/local/apache/bin/httpd -k resta
xforum 56431 0.0 2.5 16900 11040 ?? S 9:12AM 0:00.00 /usr/local/apache/bin/httpd -k resta
ru24 56432 0.0 2.5 16900 11052 ?? S 9:12AM 0:00.00 /usr/local/apache/bin/httpd -k resta
....




Есть идея переделать схему, чтобы при обслуживании потомка, он имел права nobody, но запрашивал стороний процесс(запушеный под рутом) изменить права
до требуемого пользователя, не знаю как это скажется на производительности, но будет все же более безопасен.

apache-2.2.2_patch.zip