apache2 - suexec と mod_fcgid による apache 大量仮想ホスティング

Question

Falco のチュートリアルに従ったところ、2 人のユーザー (例: john と alice) の関連するディレクトリ (/var/www/johnと/var/ww/alice) に対して、すべてが期待どおりに機能するようになりました。

ここで、次のレベルに進みたいと思います。Apache でさまざまな仮想ホストを定義し/etc/apache2/sites-available/<username>て再起動する代わりに、動的に構成された大量の仮想ホスティングが必要です。たとえば、私の DNS サーバーには次のレコードがあります: another.site.example.com、ホーム ディレクトリを に置きたいとし/var/www/another.site/webます。

問題は、suexec と mod_fcgid のこれらすべての構成設定です。私はこの下書きを終了しましたhttpd.conf（または、次のようなファイルを作成する必要があります/etc/apache2/sites-available/mass_virtualか？）：

NameVirtualHost *:80

#default virtual host
<VirtualHost *:80>
  ServerName www.example.com
  ServerAlias example.com
  ServerAdmin webmaster@example.com
  DocumentRoot /var/www/root/web/

  <IfModule mod_fcgid.c>
    SuexecUserGroup web-admin web-admin
    <Directory /var/www/root/web/>
      Options +ExecCGI
      Options -Indexes
      AllowOverride All
      AddHandler fcgid-script .php
      FCGIWrapper /var/www/php-fcgi-scripts/root/php-fcgi-starter .php
      Order allow,deny
      Allow from all
    </Directory>
  </IfModule>

  # ErrorLog /var/log/apache2/error.log
  # CustomLog /var/log/apache2/access.log combined
  ServerSignature Off

</VirtualHost>

#3rd-level subdomain virtual hosts
<VirtualHost *:80>
  UseCanonicalName Off
  ServerAlias *.example.com
  #problematic email!
  ServerAdmin webmaster@example.com
  #is this /var/www/another.site/web or /var/www/www.another.site/web for
  #a request for www.another.site.example.com ?
  VirtualDocumentRoot /var/www/%-3+/web

  <IfModule mod_fcgid.c>
    #problematic group and user!
    SuexecUserGroup web1 web1
    <Directory /var/www/*/web/>
      Options +ExecCGI
      Options -Indexes
      AllowOverride All
      AddHandler fcgid-script .php
      FCGIWrapper /var/www/php-fcgi-scripts/*/php-fcgi-starter .php
      Order allow,deny
      Allow from all
    </Directory>
  </IfModule>

  # ErrorLog /var/log/apache2/error.log
  # CustomLog /var/log/apache2/access.log combined
  ServerSignature Off

</VirtualHost>

1. コメントからわかるように、問題のあるServerAdmin webmaster@example.com、 、SuexecUserGroup web1 web1およびVirtualDocumentRoot /var/www/%-3+/web構成があります。

2. IfModuleさらに、セキュリティを確保するために存在すべきではない と思います-mod_fcgidロードできない場合は、サーバーもそうすべきではありません。

3. の代わりに、代わりにphp-library ディレクトリを開いて開くAlow from all必要があると思います!Deny from all

ありがとう。

Answer 1

OK、返信がないので、提案された解決策の半分を試します(?): mod_userdir を使用して suexec を強制的に実行する

1. 次の /etc/apache2/httpd.conf を作成しましょう

   ##########################################
   ### mod_fcgid configuration directives ###
   ##########################################
   #values should be tuned depending on server memory
   FcgidMaxProcesses 1000
   FcgidMaxProcessesPerClass 100
   FcgidMinProcessesPerClass 3
   #see 'export PHP_FCGI_MAX_REQUESTS=5000' at '/var/www/php-fcgi-scripts/<user>/php-fcgi-starter'
   FcgidMaxRequestsPerProcess 5000
   FcgidIOTimeout 40
   FcgidProcessLifeTime 3600
   FcgidMaxRequestInMem 65536
   FcgidMaxRequestLen 131072
   FcgidOutputBufferSize 65536
   

2. mass_virtualを作成しましょう/etc/apache2/sites-available/

   #NameVirtualHost *:80
   
   #default virtual host
   <VirtualHost *:80>
     ServerName www.example.com
     ServerAlias example.com
     ServerAdmin webmaster@example.com
     DocumentRoot /var/www/web-admin/web/
   
     SuexecUserGroup web-admin web-admin
     <Directory /var/www/web-admin/web/>
       Options +ExecCGI
       Options -Indexes
       AllowOverride All
       AddHandler fcgid-script .php
       #FCGIWrapper /var/www/php-fcgi-scripts/web-admin/php-fcgi-starter .php
       FcgidWrapper /var/www/php-fcgi-scripts/web-admin/php-fcgi-starter .php
       Order allow,deny
       Allow from all
     </Directory>
   
     # ErrorLog /var/log/apache2/error.log
     # CustomLog /var/log/apache2/access.log combined
     ServerSignature Off
   
   </VirtualHost>
   
   #3rd-level subdomain virtual hosts
   <VirtualHost *:80>
     ServerAlias *.example.com
     ServerAdmin webmaster@example.com
     ##################
     ### solution 1 ###
     ##################
     #mod_vhost_alias directives: needs parameterized SuexecUserGroup(?)
     #UseCanonicalName Off
     #VirtualDocumentRoot /var/www/%-3+/web
     ##################
     ### solution 2 ###
     ##################
     #mod_userdir directives for requests: http://www.example.com/~user
     UserDir disabled root
     UserDir /var/www/*/public_html
   
     #reduntant if using requests: http://www.example.com/~user
     #SuexecUserGroup web1 web1
     <Directory /var/www/*/public_html>
       Options +ExecCGI
       Options -Indexes
       AllowOverride All
       AddHandler fcgid-script .php
       #move to .htaccess
       #FCGIWrapper /var/www/php-fcgi-scripts/*/php-fcgi-starter .php
       #FcgidWrapper /var/www/php-fcgi-scripts/*/php-fcgi-starter .php
       Order allow,deny
       Allow from all
     </Directory>
   
     # ErrorLog /var/log/apache2/error.log
     # CustomLog /var/log/apache2/access.log combined
     ServerSignature Off
   
   </VirtualHost>
   

   問題:最初の行のコメントを外すと、サーバーの再起動時に仮想ホストがないという警告が表示されます!!

3. ユーザーボブを作成しましょう

4. .htaccess を作成しましょう/var/www/bob/public_html

   FcgidWrapper /var/www/php-fcgi-scripts/bob/php-fcgi-starter .php
   

5. www.example.com/info.phpブラウザをまたはに叩きましょうexample.com/info.php

   web-admin
   

   ...さすがですが、

6. に移動しましょうwww.example.com/~bob/info.php

   ...trying to open info.php!!!
   

   エラーを見てみましょう

   <root># cat /var/log/apache2/error.log
   [notice] caught SIGTERM, shutting down
   [notice] suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec)
   [notice] Apache/2.2.20 (Ubuntu) mod_fcgid/2.3.6 configured -- resuming normal operations
   

   ご覧のとおり、エラーmod_fcgidはありませんが、.php ファイルの実行が有効になっておらず、Apache はそれを通常のファイルとして送信しようとします!!! これを解決する方法はありますか？