Typo3 für das Spiegeln mit rsync vorbereiten

[cjhbabel]

Ich möchte eine typo3 Installation von einem Testsystem regelmäßig auf ein Produktivsystem "spiegeln". Zum Spiegeln der Dateien und Verzeichnisse möchte ich rsync benutzen. Sowohl auf dem Testsystem als auch auf dem Produktivsystem habe ich root Rechte. Typo3 (und damit Apache) benötigt Schreibzugriff auf einige Verzeichnisse. Um die Rechte so restriktiv wie möglich zu vergeben möchte ich folgendes einrichten:

a) Auf beiden Systemen wird ein neuer Benutzer "apache" angelegt, ebenso die Gruppe "apache". Dem Benutzer apache gehören keine Dateien oder Verzeichnisse.

b) Auf beiden Systemen wird ein neuer Benutzer "upd" angelegt. Der Benutzer wird in die Gruppe "apache" aufgenommen. Alle Dateien und Verzeichnisse gehören dem Benutzer "upd".

c) Das Startskript von apache wird so abgeändert, dass eine umask von 0202 benutzt wird. Dadurch werden neue Dateien mit den Rechten 464 angelegt und Verzeichnisse mit 575. Dadurch kann der Benutzer upd alle Dateien per rsync aktualisieren und/oder löschen.

d) Alle Verzeichnisse auf die typo3 Schreibzugriff benötigt sollen folgende Rechte bekommen:

dr-xrwxr-x upd apache typo3temp

Meine Fragen sind jetzt:

1) Ist eine Konfiguration dieser Art sinnvoll?

2) Was kann man besser machen um die Rechtevergabe so restriktiv wie möglich zu machen?

[jamesb]

Weißt du, was suphp bzw. php via suexec ist?

JamesB

[cjhbabel]

Weißt du, was suphp bzw. php via suexec ist?
JamesB

Ja. Aber da typo3 schon mit PHP als Modul nicht besonders performant ist finde ich die CGI Lösung nicht so besonders interessant.

[majortermi]

Ja. Aber da typo3 schon mit PHP als Modul nicht besonders performant ist finde ich die CGI Lösung nicht so besonders interessant.

Typo3 läuft bei mir mit suPHP recht performant (beim ersten Aufruf der Seite nicht, aber sobald sie dann im Cache ist...).

[cjhbabel]

Typo3 läuft bei mir mit suPHP recht performant (beim ersten Aufruf der Seite nicht, aber sobald sie dann im Cache ist...).

Hmm, also mein oben beschriebenes Setup läuft jetzt eigentlich ganz gut. Zumindest von der Funktionalität. Das Problem bei solchen "Monstern" wie Typo3 ist halt immer die Gefahr eines Fehler der Probleme bei der Sicherheit macht. Ich hatte auch schon daran gedacht Apache in einer UML laufen zu lassen. Mein Problem im Moment ist halt, dass ich nicht abschätzen kann wie sicher Typo3 ist.

Die Partition ist mit den Attributen "async,auto,rw" gemountet. Und ausser den Webseiten ist dort nichts weiter gespeichert. Und nur in zwei Verzeichnisse kann der httpd schreiben, eben die Typo3 tmp Verzeichnisse. Mir ist nicht ganz klar, was ein Anfreifer erreichen könnte. Soweit ich das sehe ist maximal die Partition mit den Webseiten gefährdet. Gibt es dafür noch irgendwas an Literatur?

[Outlaw]

Ja. Aber da typo3 schon mit PHP als Modul nicht besonders performant ist finde ich die CGI Lösung nicht so besonders interessant.

Typo3 läuft bei mir mit suPHP recht performant (beim ersten Aufruf der Seite nicht, aber sobald sie dann im Cache ist...).

Mich würde interessieren, ob Ihr Tools wie ZendOptimizer am laufen habt, denn Typo3.org empfiehlt dringend sowas genau aus diesem Grund ....

Aber das habt Ihr bestimmt, oder ??

Gruß Outi

[cjhbabel]

Mich würde interessieren, ob Ihr Tools wie ZendOptimizer am laufen habt, denn Typo3.org empfiehlt dringend sowas genau aus diesem Grund ....

Noch nicht, ich weiss noch nicht welches Tool ich nehmen soll. Ich bin auch noch im Aufbau und erstmal ist mir Sicherheit wichtiger. Hast Du schon Erfahrungen?

PS: Der Rechner ist ein 3 GHz Dual-Xeon mit 4 GB Ram und S-ATA Raid5.

[Outlaw]

Ich hatte den Zend mal testhalber längere Zeit am Laufen, ohne Probleme aber bei mir ist nicht so der Traffic, daß es sich gelohnt hatte. Ich habe jetzt Typo3 für die Verwandschaft drauf, die sowas mal testen wollte aber auch hier ist nicht so der Traffic, daher habe ich den Zend auch noch nicht am Laufen.

Ich habe nen PIII 866 bei 1&1 und ich kann mich so nicht beklagen aber ich denke, wenn jetzt mehrere Zugriffe gleichzeitig auf das Typo kämen, würde es schnell eng werden.

Es soll zwar schnellere Optimizer geben aber ich habe bisher auch noch nix anderes probiert.

Die Install vom Zend ist kein Drama.

Gruß Outi