目的

cgiをユーザ権限で動かす。デフォルトだと、apacheユーザの権限で動くので、不用意に他のファイルにアクセスできる。あと、cgiが作成したファイルがユーザ権限とは異なるので、ユーザ自身で削除できなくなることもあり、管理が面倒だから。

制約

apacheの公式に書いてる20の基準を満たす必要がある。ディレクトリ、ファイルのパーミッション、ファイルのオーナーなど。しっかり把握して使用する必要あり。

configure オプション

とりまこんな感じで。

./configure" \
--prefix=/usr/local/apache2 \
--with-included-apr \
--enable-suexec \
--with-suexec-bin=/usr/local/apache2/bin/suexec \
--with-suexec-caller=www-data \
--with-suexec-docroot=/home \
--with-suexec-userdir=public_html \
--with-suexec-uidmin=100 \
--with-suexec-gidmin=100 \
--with-suexec-logfile=/usr/local/apache2/logs/suexec.log 

VirtualHost環境で動かす

各VirtualHost内に

SuexecUserGroup user1 user1

と書くだけでいい？注意点としては、各VirtualHostのDocumentRootは--with-suexec-docroot以下に配置する必要があるので、ディレクトリの場所を統一しないといけない模様。/home/user/public_html みたいに。

各ユーザのwebディレクトリで動かす

Userdir public_html

とかの設定を入れていて。

• http://example.com/~user1/
• http://example.com/~user2/

などで実行したい場合。--with-suexec-userdirで指定するディレクトリに置くだけ。

メリット/デメリット

メリット:ユーザごとのphpのリソース使用状況がわかる。(mod_phpだとapacheのプロセスの中に含まれてしまうので、個別に調べるの難しい)
デメリット:cgiなのでmodule版と比較するとパフォーマンス落ちる

phpインストール

suphpを使うにはcgi版phpのインストールが必要。

./configure \
--prefix=/usr/local/php \
--enable-cgi \
--enable-force-cgi-redirect 

その他必要は分は追加。--with-apxs2を入れるとenable-cgiしてもCLI版が出来てしまうというとこに少しはまってしまった。

• cliとcgi版の確認

$ php-cgi file.php

としたときに、HTTPヘッダが表示されていればcgi版バイナリ。

suphp install

./configure \
--prefix=/usr/local/suphp \
--with-apxs=/usr/local/apache2/bin/apxs 
--docdir=/home \
--with-apache-user=www-data \
--with-apr=/usr/local/apache2/bin/apr-1-config \
--with-setid-mode=paranoid \
--with-min-uid=100 \
--with-min-gid=100 \
--with-logfile=/usr/local/apache2/logs/suphp_log

--with-setid-modeはowner, force, paranoidの3つから選択。デフォルトはparanoid。

• http://www.suphp.org/DocumentationView.html?file=INSTALL

MODE has to be one of:
  "owner":    Run scripts with owner UID/GID
  "force":    Run scripts with UID/GID specified in Apache configuration
  "paranoid": Run scripts with owner UID/GID but also check if they match the UID/GID specified 
                in the Apache configuration
The default is "paranoid" mode.
  You should *NEVER* use "force" mode as it is very dangerous.
  While "owner" mode is not as dangerous as "force" mode its use is disadvised and "paranoid" mode should be preferred.

suphpのconfig

debianのapt-getバージョンから拝借。

• PREFIX/etc/suphp.conf

[global]
;Path to logfile
logfile=/usr/local/apache2/logs/suphp.log

;Loglevel
loglevel=info

;User Apache is running as
webserver_user=www-data

;Path all scripts have to be in
docroot=/home

;Path to chroot() to before executing script
;chroot=/mychroot

; Security options
allow_file_group_writeable=false
allow_file_others_writeable=false
allow_directory_group_writeable=false
allow_directory_others_writeable=false

;Check wheter script is within DOCUMENT_ROOT
check_vhost_docroot=true
;Send minor error messages to browser
errors_to_browser=false
;PATH environment variable
env_path=/bin:/usr/bin

;Umask to set, specify in octal notation
umask=0077
; Minimum UID
min_uid=1000
; Minimum GID
min_gid=1000

[handlers]
;Handler for php-scripts
application/x-httpd-php="php:/usr/local/php/bin/php"
;Handler for CGI-scripts
x-suphp-cgi=execute:!self

apacheの設定

Handlerはsuphp.confのHandlersとあわせる。一致してればなんでも動くぽいけど、apacheが変なmedia typeだとapacheがエラー吐くので、suphp.confもhttpd.confもapplication/x-httpd-phpにしといた。
あと、--with-setid-mode=paranoid (デフォルト)で設定している場合はsuPHP_UserGroupでユーザとグループの指定も必要なので、VirtualHost内などに適当に設定。

LoadModule suphp_module        modules/mod_suphp.so

<IfModule suphp_module>
  <Directory /home >
    suPHP_Engine on
  </Directory>
  AddType application/x-httpd-php .php .php3 .php4 .php5 .phtml
  suPHP_AddHandler application/x-httpd-php
</IfModule>

<VirtualHost *:80>
  ServerName hoge.example.com
  suPHP_UserGroup hoge hoge
</VirtualHost>

<VirtualHost *:80>
  ServerName fuga.example.com
  suPHP_UserGroup fuga fuga
</VirtualHost>

httpd.conf or .htaccess

php.iniの置き場所を指定。(/home/user/php.inを使う例)

suPHP_ConfigPath /home/user/

php.iniの設定

通常のphp.iniのようにname = value の形式で設定する。