Хостинг панели: бесплатные

[scorpion-ds]

Да, жалко тебя, конечно.

За что жалеть?

 

[fixxxer]

На данный момент, я не ставил apache, использую nginx + php-fpm, но возможно таки доставлю его, если понадобится.

Так в чем тогда проблема? Делаешь пулы в fpm и всё.

 

[c0dex]

Да, преподаватели по "безопасности" очень дотошные =\

 

[AnrDaemon]

php-fcgi, а если еще точнее - php-fpm
А что, кто-то еще использует иные механизмы?

Да, представь себе. Проще в Апаче цепочку фильтров включить, чем писать свой собственный стек.

 

[Вурдалак]

Вообще Апач уже лет 5 не видел, удивительно, и зачем же он нужен на практике?

 

[MiksIr]

Сказали же - что бы собственные стеки не писать

 

[scorpion-ds]

Так в чем тогда проблема? Делаешь пулы в fpm и всё.

Проблемы уже нет, я впервые об этом узнал, погуглил все норм, теперь каждых хост работает от своей группу и пользователя, с правами на запись PHP нет.

Но вот с ограничением на доступ, есть.

Таким образом, я закрываю пользователя только в рамках своей домашней папки:

Match User www-name
    ChrootDirectory %h
    AllowTCPForwarding no
        X11Forwarding no
        ForceCommand internal-sftp

Все работает отлично через SFTP клиент, но при этом пропадает доступ по SSH, через тот же Putty, после авторизации клиент сразу отключается.
Такой доступ хотелось бы иметь, к примеру для обновления проекта (git, svn и т.п.).

Не выходит нагулить, как это решить.

 

[AnrDaemon]

Убрать ForceCommand internal-sftp, слинковать /bin, /usr/bin, /dev, /proc… ой, не, не буду перечислять дальше.
Вообще, chroot это такая больная вещь… лучше не пользоваться.

 

[AnrDaemon]

Вообще Апач уже лет 5 не видел, удивительно, и зачем же он нужен на практике?

Можно, я нескромный вопрос задам? Спасибо.
Ты кроме древнего как дерьмо мамонта apache handler и твоего любимого [F]CGI другие варианты подключения PHP к Апачу знаешь?

 

[fixxxer]

Проблемы уже нет, я впервые об этом узнал, погуглил все норм, теперь каждых хост работает от своей группу и пользователя, с правами на запись PHP нет.

Но вот с ограничением на доступ, есть.

Ты уж определись, либо не давать доступа к файловой системе вне хомяка, либо давать. Какой смысл ограничивать sftp, если по ssh (да и из php) все равно все то же самое будет?

Можно делать chroot, но это адов костыль и геморрой - проще уж тогда lxc.

 

[Вурдалак]

Можно, я нескромный вопрос задам? Спасибо.
Ты кроме древнего как дерьмо мамонта apache handler и твоего любимого [F]CGI другие варианты подключения PHP к Апачу знаешь?

Я ничего не знаю про Apache, я тебе задал простой вопрос: зачем он нужен тебе на практике?

 

[AnrDaemon]

На практике я не зацикливаюсь на PHP. Некоторые проекты отдают контент через два-три фильтра. Писать всё это руками? Идитенайух.
AddOutputFilter XXX .ext

 

[MiksIr]

На практике я не зацикливаюсь на PHP. Некоторые проекты отдают контент через два-три фильтра. Писать всё это руками? Идитенайух.

Спасибо, что поделился.

 

[MiksIr]

Ты уж определись, либо не давать доступа к файловой системе вне хомяка, либо давать. Какой смысл ограничивать sftp, если по ssh (да и из php) все равно все то же самое будет?

Можно делать chroot, но это адов костыль и геморрой - проще уж тогда lxc.

Ну у php там типа open_basedir есть или что-то вроде того.
Хотя мне не понять эти "ах, кто-то увидит какой у меня дистрибутив линукса". Или "случилось страшное - он прочитал /etc/passwd".

 

[AnrDaemon]

(При том, что в /etc/passwd давно ничего полезного не лежит, да и вообще очень мало что можно сделать без рутового доступа. Вот посмотреть в папки других пользователей, если у php некорректно настроен open_basedir - это да.)

 

[fixxxer]

Ну у php там типа open_basedir есть или что-то вроде того.

Это еще надо всякие exec-и запретить ручками, safe mode давно выпилили (туда ему и дорога). Но вообще это все адовы костыли, надо просто уметь пользоваться стандартными юниксовыми правами доступа и прочими umask-ами. А кто себе 777 сам поставил на очевидный путь, тот ССЗБ.

 

[MiksIr]

Вот посмотреть в папки других пользователей, если у php некорректно настроен open_basedir - это да.)

Это только для всяких... у кого с апачем надолго У всех остальных php уже давно под юзером юзера =)

 

[MiksIr]

Но вообще это все адовы костыли, надо просто уметь пользоваться стандартными юниксовыми правами доступа и прочими umask-ами. А кто себе 777 сам поставил на очевидный путь, тот ССЗБ.

Ну я с этого начал Можно chattr +i что бы на /home/user случайно права не сменили, а что там внутри - хоть 777, пофиг уже, если прав на rx нет у /home/user.

 

[fixxxer]

chattr +i

О, кстати, да.

Ну еще с симлинками может быть весело, но это надо окончательно упороться, да.

 

[AnrDaemon]

Это только для всяких... у кого с апачем надолго У всех остальных php уже давно под юзером юзера =)

Одно другому не мешает.