Re: pld na hosting PHP - jak rozdzielacie klientów?

Arkadiusz Rdest weed w punkt.pl
Śro, 17 Gru 2008, 18:43:01 CET 

Jacek Osiecki wrote:

> A co bolą graceful restarty apache'a, pod warunkiem że konfig nie został
> spieprzony?

to zalatwia apache-checkkonfig przed wykonaniem reloadu. :)

ale load maszyny rosnie kilkukrotnie podczas gracefula.
poza tym, przy kilkunastu tysiacach vhostow i obciazonej ruchem 
maszynie, kilka albo kilkanascie sekund trwa.
dodadtkowo u mnie apache musi skillowac i odpalic na nowo okolo 2000 
procesow php.fcgi i pewnie stad ten load :)


> Ja to robię/mam zamiar robić tak: ultraprymitywny "demon" w bashu,
> podtrzymywany przy życiu przez inita, raz na minutę sprawdza czy w bazie
> mysql nie doszedł nowy vhost. Jak doszedł - to generuje na nowo definicje
> virtualhostów i odpala /etc/init.d/httpd reload

mam podobnie, ale reload nie co dodanie nowego vhosta, tylko co kilka 
godzin. ale vhosty generuje i usuwa na biezaco.

i tak ci radze. bo jesli jakis user zacznei sobie "trenowac" dodawanie i 
usowanie subdomen to twoj apache nie bedzei robil nic innego tylko sie 
reloadowal co chwile :) i DOS gotowy :)


> Jakieś przeciwskazania dla takiego rozwiązania? Stosuję z powodzeniem do
> maszynek zarządzających sporą siecią - tam akurat do regułek proxy i
> iptables, ale zasada działania identyczna...

tam nie wykonujesz reloadow co minute, bo te konfigi zmieniaja sie w 
miare rzadko :)


>> niestety ze wzgledu na uzywanie mod_fastcgi i osobnych konfigow php.ini
>> dla userow nie moge uzyc np. mod_rewrite'a do dynamicznego generowania
>> vhostow.
> 
> Póki co chciałbym uniknąć używania php jako cgi/fastcgi :)

ale uzywanie mod_php to znaczne obnizenie bezpieczenstwa.

nie mowic o tym, ze usery "wspoldziela" procesy httpd i latwo mozna sie 
nabawic kilkunastu procesow zombii httpd, jesli jakeis skrytpy php 
zaczna swirowac. a na takie zombiaki gracefull nie pozmoe :(



> A 400 na /etc/passwd, albo apparmor?

no chyba nie bez przyczyny jest 644 na /etc/passwd
jednak cos potrzebuje miec do niego dostep skoto takie prawa mu dali.

a apparmour to dla mnie jakis dziwny wynalazek
i wolabym uniknac jego uzywania. ;)


-- 
  -[  net and sys admin  ]-[ Learn the facts and make up your own ]-
  -[ a.rdest()infomex()pl]-[ damn mind. That's why you have one.  ]-

Więcej informacji o liście dyskusyjnej pld-users-pl