Debian Sarge, Apache2, Suexec2, mod_fastcgi, php5-fcgi HowTo

[Anonymous]

moin.
genau das gleiche problem habe ich auch, wenn ich make eingebe meckert debian mit der obeigen fehlermeldung.
zuvor kriege ich, nachdem ich /.configure gemacht hab, aber noch die fehlermeldung

Code: Select all

configure: error: xml2-config not found. please check your libxml2 installation

deswegen denke ich mal, das das mit make an dem libxml2 problem liegt.
ich habs aber per apt-get install libxml2 installiert und ein apt-get -f install zeigt mir keine probleme - deswegen, wie weiter?

[Anonymous]

ich habs, es fehlte das paket libxml2-dev - ich hatte jedoch immer nur libxml2 installiert.
sollte es nicht eigentlich irgendwas in debian geben, was so was verhindert?

[athlux]

ich habs, es fehlte das paket libxml2-dev - ich hatte jedoch immer nur libxml2 installiert.
sollte es nicht eigentlich irgendwas in debian geben, was so was verhindert?

Debian kann die Paketabhängigkeiten nur dann auflösen wenn Du über das Paketsystem installierst.

Wenn Du manuell was kompillierst woher soll denn auch Debian wissen welches dev-Paket Du gerade benötigst. Da heißt es Fehlermeldung lesen und Kopf einschalten.

[Roger Wilco]

Ich habe mir mal erlaubt, einen ersten Entwurf des Howtos im neuen DebianHowto.de-Wiki zu erstellen: http://www.debianhowto.de/de/howtos/sar ... 2_php-fcgi

Das sollten vllt. nochmal von jemandem überprüft werden.

[athlux]

Ich habe mir mal erlaubt, einen ersten Entwurf des Howtos im neuen DebianHowto.de-Wiki zu erstellen: http://www.debianhowto.de/de/howtos/sar ... 2_php-fcgi
.

Oberflächlich scheint es zumindest soweit ok zu sein. Habe eben gerade nach der "neuen" Wiki Anleitung installiert. Müsste man dann nur noch auf die entsprechende Wiki Seite verlinken. Da steht es nämlich noch nicht drauf.

Schönes HowTo. Danke an auch den Ersteller.

Wohin kommen eigentlich dann die cgi-scripts. cgi-bin ist ja auf php-fcgi-scripts verlinkt?

Werd bestimmt noch ein paar mehr Fragen dazu haben wenn Ich dann alle Webs auf die neue Konfig übertrage. Momentan läuft der apache2 nur als Test auf einem extra Port.


btw: An die http://www.debianhowto.de Betreiber. Folgende Fehler erscheinen am Seitenende ;)

Code: Select all

Warning: Unknown(): write failed: No space left on device (28) in Unknown on line 0

Warning: Unknown(): Failed to write session data (files). Please verify that the current setting of session.save_path is correct (/tmp) in Unknown on line 0

[novalis]

Auch von mir vielen Dank an den Ersteller des HowTo's... habe gerade einen frischen Server mit SARGE zum Laufen gebracht, und die wichtigsten Dämonen tun auch schon ihren Dienst ;-) Inkl. php-fcgi 4.3.11.

Ich würde allerdings auch gern vexim2 einsetzen, um meinen MTA + Mailman + Spamassasin (da gibts auch ein Tutorial auf debianhowto.de) zum Laufen zu bekommen. Leider scheitert dies an PEAR, welches nicht so recht will.

Meine config.nice:

Code: Select all

'./configure' 
'--enable-memory-limit' 
'--enable-force-cgi-redirect' 
'--enable-track-vars' 
'--with-pcre-regex' 
'--with-mysql' 
'--without-sqlite' 
'--without-mm' 
'--enable-fastcgi' 
'--prefix=/home/XXX/php4' 
'--with-gd' 
'--with-bz2' 
'--with-jpeg' 
'--with-zlib-dir=/usr/include' 
'--with-pear' 
'--with-jpeg-dir=/usr/lib/' 
"$@"

läuft auch prima durch, und PEAR wird wohl auch eingerichtet... nur fehlt mir die Pear::DB Komponente um vexim2 zu betreiben, und wenn ich versuche diese mit ./pear install DB einzufügen, bekomme ich nur ein "no input file specified." --

Es hängt sicher nur an irgendwas kleinem, aber ich find's gerade net. Hab schon google + forensuche gequält, aber rausgekommen ist bisher nichts.

Danke für eventuelle Tipps :-) Irgendwo vorn in diesem Thread stand ja schon von jemandem, daß er Probs mit PEAR hatte, nur leider keine Lösung mehr :-(

[novalis]

Es fehlte noch --with-gettext und PEAR funzt weiterhin nicht... ich hab jetzt die lib direkt gesaugt

http://pear.php.net/package/DB

und händisch entpackt. Dann alles aus dem entstehenden Verzeichnis nach /home/USER/php4/lib/php verschoben, und in der php.ini den include_path angepasst zu .:/home/USER/php4/lib/php

Tja, jetzt läufts... aber sauber ist was anderes 8O

Gruß,
Nov

[ataraxis]

mal ne kleine Feature Frage zu dem Howto:
- Wenn auf einem VHost ein phpBB läuft, das gehackt wird, dann sind ab jetzt die Daten der anderen VHosts sicher?
- Dafür müsste ich doch eigentlich ein chmod o-rwx -R /var/www ohne Probleme drüber laufen lassen können
- Bei mir funktioniert danach leider nix mehr. Hab ich das Howto falsch angewendet oder bin ich trotzdem sicher?

Danke
Ataraxis

[Joe User]

Wenn auf einem VHost ein phpBB läuft, das gehackt wird, dann sind ab jetzt die Daten der anderen VHosts sicher?

Jain.

Dafür müsste ich doch eigentlich ein chmod o-rwx -R /var/www ohne Probleme drüber laufen lassen können

Code: Select all

chmod -R 0704 /var/www/path/to/htdocs

[ataraxis]

Hm, seltsam. Ich kapier nicht, warum die Dateien world-readable sein müssen, wenn der Apache dann doch im Kontext des jeweiligen users ausgeführt wird. Wo ist dann mein Sicherheitsgewinn?

[Joe User]

Hm, seltsam. Ich kapier nicht, warum die Dateien world-readable sein müssen

Probier's doch einfach mal aus ;)

[ataraxis]

Hm, seltsam. Ich kapier nicht, warum die Dateien world-readable sein müssen

Probier's doch einfach mal aus ;)

ich möchte ja hier nem Moderator nicht auf die Füße treten, aber eigentlich sollte man aus den Zeilen

- Dafür müsste ich doch eigentlich ein chmod o-rwx -R /var/www ohne Probleme drüber laufen lassen können
- Bei mir funktioniert danach leider nix mehr. Hab ich das Howto falsch angewendet oder bin ich trotzdem sicher?

doch rauslesen können, dass ich das schon ausprobiert habe.
Ich weiss eben nur nicht, ob ich jetzt ein Denkfehler hab oder ob ich das HowTo falsch angewendet hab.

[Joe User]

ich möchte ja hier nem Moderator nicht auf die Füße treten,

Keine Sorge, ich trage Stahlkappen ;)

aber eigentlich sollte man aus den Zeilen [snip] doch rauslesen können, dass ich das schon ausprobiert habe.

Du hast meinen Vorschlag nicht getestet.

man chmod
man chown

[ataraxis]

ich möchte ja hier nem Moderator nicht auf die Füße treten,

Keine Sorge, ich trage Stahlkappen ;)

aber eigentlich sollte man aus den Zeilen [snip] doch rauslesen können, dass ich das schon ausprobiert habe.

Du hast meinen Vorschlag nicht getestet.

man chmod
man chown

Stimmt, dein Vorschlag bringt mir ja auch nix:
1. Gehören die Dateien alle dem User und seiner Hauptgruppe (jeder User hat ne separate Gruppe). Von daher bringt das null Sicherheit mehr <- das kannst du nicht wissen, ist ja auch nicht schlimm
2. Sind danach alle Dateien world-readable <- das will ich ja gerade vermeiden

[Joe User]

2. Sind danach alle Dateien world-readable <- das will ich ja gerade vermeiden

Und wie soll Dein Apache auf die Dateien und Verzeichnisse zugreifen, wenn Du ihm dies nicht gestattest?

[ataraxis]

2. Sind danach alle Dateien world-readable <- das will ich ja gerade vermeiden

Und wie soll Dein Apache auf die Dateien und Verzeichnisse zugreifen, wenn Du ihm dies nicht gestattest?

ich zitiere aus dem HowTo

Ich suchte nach Alternativen und entdeckte mod_fastcgi. Dieses verbindet die Sicherheit von PHP-CGI und die Performance von mod_php. Es führt ebenfalls PHP Files mit dem User aus, den man im vHost des Apache eingestellt hat, wie suphp, und spawnt beim Starten eine beliebige Anzahl PHP-FCGI Prozesse, die dann fest im Speicher bleiben, und somit nicht bei jedem Request neu gestartet werden müssen, ähnlich wie mod_php.

=> PHP Files werden als der User ausgeführt.
Ich bin davon ausgegangen, dass dann auch nur der User Zugriff auf die Dateien braucht. Jedenfalls bringts mir meines Erachtens wenig Sicherheitsgewinn, wenn der User jetzt zwar das PHP ausführt, bei ner gehackten PHP Präsenz der Hacker dann aber trotzdem Lesezugriff auf alle Dateien hat (da world-readable).
Hab ich was übersehen?

[haes]

Habe ebenfalls den Apache2 mit fastcgi nach dem HowTo installiert und bin jetzt gerade dabei den exim4 mit vexim nach dem anderen Howto zu installieren. Habe php4 für den extra vHost vexim kompiliert mit folgenden Optionen:

Code: Select all

'./configure' '--enable-memory-limit' '--enable-force-cgi-redirect' '--enable-track-vars' '--with-pcre-regex' '--with-mysql' '--without-sqlite' '--without-mm' '--with-pear' '--with-gettext' '--enable-fastcgi' '--prefix=/home/haaees/php4'

Beim Aufrufen von Vexim im Browser wird mir zwar das Login-Feld angezeigt, es kommen aber auch einige Fehlermeldungen:

Code: Select all

Notice: Undefined index: realname in /usr/share/vexim/config/variables.php on line 53

Notice: Undefined index: localpart in /usr/share/vexim/config/variables.php on line 55

Notice: Undefined variable: _SESSION in /usr/share/vexim/config/variables.php on line 55

Notice: Undefined variable: _SESSION in /usr/share/vexim/config/variables.php on line 56

Notice: Undefined variable: _SESSION in /usr/share/vexim/config/variables.php on line 57

Notice: Undefined index: domain in /usr/share/vexim/config/variables.php on line 61

Notice: Undefined variable: domheaderrow in /usr/share/vexim/config/header.php on line 15

Notice: Undefined variable: domheaderrow in /usr/share/vexim/config/header.php on line 15

Notice: Undefined variable: usrheaderrow in /usr/share/vexim/config/header.php on line 17

Notice: Undefined variable: usrheaderrow in /usr/share/vexim/config/header.php on line 17

Notice: Undefined index: login in /usr/share/vexim/config/header.php on line 76

Konnte bisher nichts über diese Fehlermeldungen finden, weiss einer von euch weiter?

[Roger Wilco]

Konnte bisher nichts über diese Fehlermeldungen finden, weiss einer von euch weiter?

Das sind keine Fehlermeldungen. Das sind nichtmal Warnungen. Wenn dich die Meldungen stören, setze error_reporting runter.

[philippxp]

ich hab mich heute mal an diesem howto probiert aber irgendwas hab ich falsch ;)

Wenn ich

/etc/init.d/apache2 start

mache dann bekomme ich
Starting web server: Apache2apache2: bad user name 1000

ich hab alles überprüft und alles ist auf 1000:1000 eingestellt aber es klaptpt einfach nicht.. hab es auch schon mit 1000:100 probiert aber es will einfach nicht klappten der apache will sich einfach nicht staren lassen

ich weiß wirlich nicht mehr was ich noch machen soll

danke schonmal für eure antworten

[haes]

Auf debianhowto.de habe ich beim HowTo für vsftp ein Script gefunden um neue FTP-Benutzer anzulegen. Habe das Script jetzt mal umgeschrieben um neue VHOSTs anzulegen inklusive der verschiedenen Verzeichnisse mit Berechtigungen:

Code: Select all

#!/bin/bash

echo -n "Bitte VHOST eingeben: "
read username
echo "Erstelle VHOST $username..."
adduser --home /var/www/$username/web --shell /bin/ftp $username
usermod -G ftpuser $username
mkdir /var/www/$username/conf
mkdir /var/www/php-fcgi-scripts/$username
chown $username:$username /var/www/php-fcgi-scripts/$username
touch /var/www/php-fcgi-scripts/$username/php-fcgi-starter
chown $username:$username /var/www/php-fcgi-scripts/$username/php-fcgi-starter
chmod 755 /var/www/php-fcgi-scripts/$username/php-fcgi-starter
echo "#!/bin/sh" >> /var/www/php-fcgi-scripts/$username/php-fcgi-starter
echo "PHPRC="/var/www/$username/conf"" >> /var/www/php-fcgi-scripts/$username/php-fcgi-starter
echo "export PHPRC" >> /var/www/php-fcgi-scripts/$username/php-fcgi-starter
echo "exec /home/HOMEVERZECHNIS/php5/bin/php-fcgi" >> /var/www/php-fcgi-scripts/$username/php-fcgi-starter
chattr -V +i /var/www/php-fcgi-scripts/$username/php-fcgi-starter

Die VHOST-Benutzer erhalten bei mir die Pseudoshell /bin/ftp und werden ausserdem noch der Gruppe "ftpuser" hinzugefügt, um FTP-Zugang zum jeweiligen web-Verzeichnis zu haben. Achtung: HOMEVERZEICHNIS muss natürlich noch mit dem richtigen Pfad ersetzt werden!

[philippxp]

und bei meinen prob kann mir keiner helfen

[Joe User]

und bei meinen prob kann mir keiner helfen

Ohne zu wissen, wo Du den numerischen Usernamen definiert hast: Nein.

[philippxp]

ich hab es überall da gemacht wo

VHOST_USER VHOST_GROUP

steht.

VHOST_USER = 1000
VHOST_GROUP = 100
bzw. aktuell 1000:1000

[Joe User]

Dort muss der Name, nicht die numerische ID, der User/Group hin.

[philippxp]

also sollte ich es z.b. so machen

groupadd -g 1020 php-fcgi
useradd -u 1020 -g php-fcgi php-fcgi
chown -R php-fcgi:php-fcgi Datei/Ordner

sollte es dann klappen?