PHP käivitamine kasutaja õigustes

Allikas: Kuutõrvaja
Redaktsioon seisuga 20. detsember 2006, kell 18:37 kasutajalt Anne (arutelu | kaastöö)

Apache suexec on programm, mis lisati versioonis 1.2 ja mis annab apache kasutajatele võimaluse käivitada cgi ja ssi programme kasutaja id'ga, mis erineb veebiserveri id-st. Normaalselt toimivad kõik skriptid veebiserveri õigustes. Kahjuks võimaldab see nõnda startida ainult cgi skripte. Käesolev pala kirjeldab, kuidas saada iga serveris asuv php tükk samuti käima antud kasutaja õigustes. Näites kasutatav PHP on 5. versioon, kuid kasutada võib ka neljandat. Trellidega (#) on näidetes tähistatud käsuviip.

Tarkvara installeerimine

Installeerime apache koos suexec-ga: 

 # cd /usr/ports/www/apache2
 # make  WITH_SUEXEC_MODULES="YES"  install

Seejärel installeerime php: 

 # cd /usr/ports/lang/php5
 # make install clean

PHP installeerimisel küsitakse täiendavaid parameetreid; valida tuleb CGI ja FastCGI tugi. Apache moodulit pole vaja, kui seda ei plaanita täiendavalt paralleelselt kasutada.

Järgneb fastcgi installeerimine: 

 # cd /usr/ports/www/mod_fastcgi
 # make install clean

Peale installeerimist saame kontrollida olemasolu ja parameetreid selliselt: 

# suexec -V
 -D AP_DOC_ROOT="/usr/local/www/data"
 -D AP_GID_MIN=1000
 -D AP_HTTPD_USER="www"
 -D AP_LOG_EXEC="/var/log/httpd-suexec.log"
 -D AP_SAFE_PATH="/usr/local/bin:/usr/local/bin:/usr/bin:/bin"
 -D AP_UID_MIN=1000
 -D AP_USERDIR_SUFFIX="public_html"


Nagu näha, soovib suexec, et kõik skriptid, mida tema abil käivitatakse, asuksid kataloogis /usr/local/www/data Ei hakka DOC_ROOT muutma ja loome testi sinna.

konfiguratsioon apachel

Muudame httpd.conf, vajadusel lisame: 

LoadModule suexec_module libexec/apache2/mod_suexec.so
LoadModule fastcgi_module     libexec/apache2/mod_fastcgi.so

Tekitasime veel konfi sellise sektsiooni: 

<IfModule mod_fastcgi.c>
   FastCgiWrapper  /usr/local/sbin/suexec
   FastCgiConfig   -singleThreshold 1 -pass-header HTTP_AUTHORIZATION
</IfModule>


Tekitame virtualhostid 

<VirtualHost *:80>
 SuexecUserGroup katse katse
 ServerAdmin kasutaja@nimi.ee
 DocumentRoot /usr/local/www/data/katse
 ServerName www.nimi.ee

ScriptAlias /php-fastcgi/ /usr/local/www/data/katse/
AddType application/x-httpd-fastphp .php
Action application/x-httpd-fastphp /php-fastcgi/php5-fcgi

</VirtualHost>

<VirtualHost *:80>
 SuexecUserGroup katse3 katse3
 ServerAdmin kasutaja@nimi.ee
 DocumentRoot /usr/local/www/data/katse3/cgi-bin
 ServerName test.nimi.ee

ScriptAlias /php-fastcgi/ /usr/local/www/data/katse3/cgi-bin
AddType application/x-httpd-fastphp .php
Action application/x-httpd-fastphp /php-fastcgi/php5-fcgi

</VirtualHost>

Alternatiivselt kataloogipõhiselt: 

 SuexecUserGroup katse katse
 
 <Directory "/usr/local/www/data/cgi">
   Options +ExecCGI
   AddHandler fastcgi-script .cgi
   AddType application/x-httpd-fastphp .php
   Action application/x-httpd-fastphp /cgi/php5-fcgi.cgi
 </Directory>


Skript wrapperiks

varasemalt virtualhostis sidusime igas .php laiendi kindla cgi skriptiga, mida suexeciga käivitame viimaks ehitame skripti enda, mis käivitatuna suexeci abil kasutaja õigustes stardib php enda ja sellekaudu ka veebi. 


#!/bin/sh
#PHPRC="/usr/local/etc/php.ini"
export PHPRC
PHP_FCGI_CHILDREN=4
export PHP_FCGI_CHILDREN
exec /usr/local/bin/php-cgi

Kopeerime selle faili kasutajate katse ja katse 3 kaustadesse (kataloogidesse):

/usr/local/www/data/katse/cgi-bin/php5-fcgi/usr/local/www/data/katse3/cgi-bin/php5-fcgi

Muudame mõlema faili kasutajaõigusi chown käsuga:

chown katse:katse /usr/local/www/data/katse/cgi-bin/php5-fcgi

chown katse3:katse3 /usr/local/www/data/katse3/cgi-bin/php5-fcgi

testimine kasutamine

Testimiseks saab teha skripti 

< ?php
print "hello world< p >\n";
system("id");
php? >


www.nimi.ee skripti vaadates 

hello world

uid=1004(katse) gid=1004(katse) groups=1004(katse)

test.nimi.ee 

hello world

uid=1009(katse3) gid=1009(katse3) groups=1009(katse3)


EENet 2006

Pärit leheküljelt "https://kuutorvaja.eenet.ee/w/index.php?title=PHP_käivitamine_kasutaja_õigustes&oldid=2346"