Usando mod_wsgi com mpm_itk: problema de permissão de soquete

1

Estou usando mod_itk como MPM para maior segurança no ambiente compartilhado. Eu também tenho um Firefox Sync Server dentro de um dos VHosts que eu hospedo. Esse vhost é restrito a um determinado usuário via AssignUserId user group .

O problema é que o soquete /var/run/wsgi...whatever.sock é chmodded srwx------ e pertence ao wwwrun do Apache. Enquanto eu configurei o vhost com

WSGIProcessGroup sync
WSGIDaemonProcess sync user=djechelon group=djechelon processes=1 threads=5

Eu ainda recebo o erro que o Apache quer acessar um soquete que não é acessível e por causa disso ele recebe um erro.

É possível configurar mod_wsgi para criar soquetes diferentes com diferentes proprietários para diferentes aplicativos ou para chmodar seu soquete de maneira diferente (menos segura)?

Atualmente, estou executando o Firefox Sync como o único aplicativo WSGI. Movendo-o para um vhost que não AssignUserId poderia resolver este problema, mas vai me forçar a mudar o URL (e comprar um certificado SSL adicional), então eu não consideraria isso

    
por usr-local-ΕΨΗΕΛΩΝ 05.10.2012 / 10:11

1 resposta

2

Você precisa do mod_wsgi 3.3 ou posterior, e a fonte mod_wsgi deve ser compilada em um Apache completo com os arquivos de cabeçalho do desenvolvedor correspondentes ao ITK MPM. Você não pode usar um binário de mod_wsgi compilado contra o worker ou o prefork MPM, já que o suporte ao ITK que você precisa é um tempo de compilação.

Infelizmente, as distribuições Linux que fornecem a opção ITK MPM variante do Apache, parecem não fornecer variantes de pacotes httpd-dev ou apache2-dev correspondentes ao mesmo ITK MPM. Como resultado, as pessoas geralmente acabam tendo que construir seu próprio Apache a partir do código-fonte com o ITK MPM e arquivos de cabeçalho apropriados com a versão ITK do mpm.h para que ele funcione.

    
por 05.10.2012 / 12:09