On Fri, Oct 20, 2017 at 04:42:54PM +0300, Maksim Kulik wrote:
> Так в таком случае использование unit еще выгоднее: ему не надо держать
> master-процесс для каждой версии php, не говоря о процессе для каждого
> пользователя.
>
> P.S. Может я немного отстал от актуальных знаний о PHP-FPM, но зачем под
> каждого пользователя запускать отдельный master-процесс? Достаточно ведь
> завести для конкретного пользователя свой pool (работающий от имени этого
> пользователя), а мастер-процесс будет всегда один. Если я ошибаюсь -
> скиньте, плиз, линку на почту где можно подробнее почитать об опасности
> запуска одного мастер-процесса для разных пользователей.
Это достаточно самоочевидно для любого, кто немного интересуется
безопасностью.
Ну и для програмистов эдак начиная примерно с 15+ лет опыта. Но лучше 20+.
В общем когда приходит понимание, что программ без ошибок не бывает.
Тогда доходит и мысль о том, что общий мастер-процесс на всех должен
иметь возможность читать конфиг принадлежащий любому пользователю и
перезапускать пул(ы) от любого пользовательского UID, а это уже есть
некторая дыра, т.к. он получается должен быть рутовым.
В модели отдельного мастера на пользователя он после запуска
безвозвратно дропает свои привелегии и эта схема в целом меньше
подвержена протечкам.
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru