Использование mod-itk для усиления безопасности сервера виртуального хостинга

Всё о сайтах, 24 Декабря 2011

Использование mod-itk для усиления безопасности сервера виртуального хостинга

mod-itk(mpm-itk) - это опция, которую обязательно следует рассмотреть при проектировки(сборке) вашего сервера виртуального хостинга. Его основное достоинство - это то, что каждый скрипт вэб сайта запускается от отдельного пользователя, но его основное отличие от подобных, что он не нуждается в создании отдельно пула процессов для каждого пользователя. Более того, когда PHP запрос завершен, заканчивается каждый процесс, и чтобы обрабатывать новые запросы должны создаваться новые процессы.


Установка в Kloxo довольна просто. Заходите в раздел Webserver Config, выбираете там нужный мод, например, mod_itk и нажимаете Update. Если какие то проблемы с правами, то надо запустить там же "Fix 'ownership' And 'permissions'" и нажать Update.


Если вы сами конфигурируете сервер, то установка происходит следующим образом, при этом учтите, что mod-itk должен быть скомиллирован в Апачи, он не может быть установлен как модуль.


$ mkdir -p /tmp/apache-itk


$ cd /tmp/apache-itk


$ wget http://www.mirrorservice.org/sites/ftp.apache.org/httpd/httpd-2.2.8.tar.gz


$ wget http://mpm-itk.sesse.net/apache2.2-mpm-itk-20080105-00.patch


$ tar -zxf httpd-2.2.8.tar.gz


$ cd httpd-2.2.8


$ patch -p1 < ../apache2.2-mpm-itk-20080105-00.patch


$ autoconf


Далее


$ ./configure --with-mpm=itk


$ make ; make install


Конфигурировать Апачи очень легко. Для каждого виртуального хоста просто добавляем AssignUserId запись:


 


ServerName www.example.com


...


 


AssignUserId niko niko


 


 


Заметки. mod-itk значительно лучше и быстрее, что suexec и suphp, но все же медленнее, чем mpm-peruser.


suexec and suphp вносят кое какие ограничения в PHP, в то время как mod-itk нет, потому что переключает пользователей в сердце Апачи, то есть там где надо, в правильном месте. mod-itk позволяет работать вместе с mod_php, в результате ваш код имеет высокую гибкость и может использовать все преимущества Апачи сервера. В отличии от mpm-peruser не требует дополнительных настроек и в целом более приемлем для хостинга с большим количеством виртуальных Хостов. В этой связи очень сильно стоит задуматься над его использованием, я бы вам даже рекомендовал это сделать.

На данный момент нет комментариев
Внеси свой вклад в осбуждение
Имя*
Почта*
не публикуется
Ваш сайт
например, http://site
Сообщение*
Код подтверждения*
Код подтверждения

1. Обязательно укажите код подтверждения

2. Все сообщения проходят модерацию перед размещением на сайте

3. Размещение ссылок в сообщении не допускается