бесплатный хостинг с нуля

Получившеюся систему я пощупал простеньким скриптом:

<  ?php
//$filename = "/home/hfgg_ru/domains/hfgg.ru/htdocs/index.php";
$filename = "/home/hfgg_ru/php.ini";
$handle = fopen($filename, "rb");
$contents = fread($handle, filesize($filename));
fclose($handle);
echo $contents;
? >

#!sh
#!/bin/sh
## ABSOLUTE path to the spawn-fcgi binary
SPAWNFCGI="/usr/bin/spawn-fcgi"
## ABSOLUTE path to the PHP binary
FCGIPROGRAM="/usr/bin/php-cgi"
## bind to tcp-port on localhost
FCGISOCKET="/home/hfgg_ru/sockets/test.php.sock"
## uncomment the PHPRC line, if you want to have an extra php.ini for this user
## store your custom php.ini in /var/www/fastcgi/fred/php.ini
## with an custom php.ini you can improve your security
## just set the open_basedir to the users webfolder
## Example: (add this line in you custom php.ini)
## open_basedir = /var/www/vhosts/fred/html
##
#PHPRC="/home/hfgg_ru/"
## number of PHP childs to spawn in addition to the default. Minimum of 2.
## Actual childs = PHP_FCGI_CHILDREN 1
PHP_FCGI_CHILDREN=2
## number of request server by a single php-process until is will be restarted
PHP_FCGI_MAX_REQUESTS=1000
## IP adresses where PHP should access server connections from
FCGI_WEB_SERVER_ADDRS="127.0.0.1"
# allowed environment variables sperated by spaces
ALLOWED_ENV="PATH USER"
## if this script is run as root switch to the following user
USERID=test_hfgg_ru
GROUPID=hostusers
CHROOTDIR="/home/hfgg_ru/"
################## no config below this line
if test x$PHP_FCGI_CHILDREN = x; then
  PHP_FCGI_CHILDREN=5
  fi
  export PHP_FCGI_MAX_REQUESTS
  export FCGI_WEB_SERVER_ADDRS
  export PHPRC
  ALLOWED_ENV="$ALLOWED_ENV PHP_FCGI_MAX_REQUESTS FCGI_WEB_SERVER_ADDRS PHPRC"
  # copy the allowed environment variables
  E=
  for i in $ALLOWED_ENV; do
    E="$E $i=$(eval echo "\$$i")"
    done
    # clean environment and set up a new one
    env - $E $SPAWNFCGI -s $FCGISOCKET -f $FCGIPROGRAM -c $CHROOTDIR -u $USERID -g $GROUPID -C $PHP_FCGI_CHILDREN
    #env - $E $SPAWNFCGI -s $FCGISOCKET -f $FCGIPROGRAM -u $USERID -g $GROUPID -C $PHP_FCGI_CHILDREN
    chmod 770 $FCGISOCKET

Задавал я вопрос «как же запустить ПХП под разными правами» на гугле, на форуме сисадмин, в нескольких группах ЖЖ. Так и не получил ниодного ответа за неделю :(   Пришлось продолжить поиски нужной инфы… все-таки нашел что надо, но только на англиском.
http://redmine.lighttpd.net/projects/lighttpd/wiki/HowToSetupFastCgiIndividualPermissions (копия — http://docs.google.com/Doc?id=d3w5xmz_28fbvkd2cq)

кратко о том что из этой статьи я уяснил для себя:
1. ну во-первых запускать ПХП под разными юзерами действительно самый надежный способ отгородить друг от друга пользователей 
2. это видимо действительно будет жрать много памяти, постараюсь в будущем проверить
3. есть реальная опасность уткнуться в ограничение по колличеству групп для одного линукс пользователя.
4. и при использовании такой настройки каждый отдельный сайт становится менее безопасным. потому что ПХП может изменить любой файл.  Но я думаю это навсамом деле не так критично, потому что если злоумышленник сможет хотябы читать произвольынй файл, то этого  уже будет достаточно чтобы напакостить хотябы в БД.

Сюдя по всему моя затея провались, тогда придется ограничения вводить средствами ПХП.
Но раз задача была поставлена сабжа, то реализуем ее, я думаю это еще пригодится для разделения хотябы основного домена от всех бесплатников.

меняем настройку Лайти следующим образом(для тестовго домена):

$HTTP["host"] =~ "^test\.hfgg\.ru$" {
    server.document-root = "/home/hfgg_ru/domains/test.hfgg.ru/htdocs"
    accesslog.filename = "/home/hfgg_ru/logs/test.hfgg.ru.access.log"
        fastcgi.server = (
         ".php" = > (
          "localhost" = > (
           "socket" = > "/home/hfgg_ru/sockets/test.php.sock",
           "broken-scriptfilename" = > "enable"
                   )
                    )
                    )
}

#!sh
#!/bin/sh
## ABSOLUTE path to the spawn-fcgi binary
SPAWNFCGI="/usr/bin/spawn-fcgi"
## ABSOLUTE path to the PHP binary
FCGIPROGRAM="/usr/bin/php-cgi"
## bind to tcp-port on localhost
FCGISOCKET="/home/hfgg_ru/sockets/test.php.sock"
## uncomment the PHPRC line, if you want to have an extra php.ini for this user
## store your custom php.ini in /var/www/fastcgi/fred/php.ini
## with an custom php.ini you can improve your security
## just set the open_basedir to the users webfolder
## Example: (add this line in you custom php.ini)
## open_basedir = /var/www/vhosts/fred/html
##
PHPRC="/home/hfgg_ru/"
## number of PHP childs to spawn in addition to the default. Minimum of 2.
## Actual childs = PHP_FCGI_CHILDREN + 1
PHP_FCGI_CHILDREN=5
## number of request server by a single php-process until is will be restarted
PHP_FCGI_MAX_REQUESTS=1000
## IP adresses where PHP should access server connections from
FCGI_WEB_SERVER_ADDRS="127.0.0.1"
# allowed environment variables sperated by spaces
ALLOWED_ENV="PATH USER"
## if this script is run as root switch to the following user
USERID=test_hfgg_ru
GROUPID=lighttpd
################## no config below this line
if test x$PHP_FCGI_CHILDREN = x; then
  PHP_FCGI_CHILDREN=5
  fi
  export PHP_FCGI_MAX_REQUESTS
  export FCGI_WEB_SERVER_ADDRS
  export PHPRC
  ALLOWED_ENV="$ALLOWED_ENV PHP_FCGI_MAX_REQUESTS FCGI_WEB_SERVER_ADDRS PHPRC"
  # copy the allowed environment variables
  E=
  for i in $ALLOWED_ENV; do
    E="$E $i=$(eval echo "\$$i")"
    done
    # clean environment and set up a new one
    env - $E $SPAWNFCGI -s $FCGISOCKET -f $FCGIPROGRAM -u $USERID -g $GROUPID -C $PHP_FCGI_CHILDREN
    chmod 770 $FCGISOCKET

Решил обратиться к документации по lighttpd, дабы прояснить некоторые моменты с fastCGI…
http://www.opennet.ru/docs/RUS/lighttpd_doc/fastcgi.html#starting-a-fastcgi-php (копия — http://docs.google.com/Doc?id=d3w5xmz_26hj7qrjcj#starting-a-fastcgi-php)

ключевые слова «spawn-fcgi используется чтобы запустить FastCGI процесс в своём окружении, выставить ему user-id, group-id и сменить корневую директорию (chroot).»

проверяю есть ли такая программа spawn-fcgi, выполняем find —name «spawn-fcgi», в ответ получаем что-то типа ./usr/bin/spawn-fcgi  что свидетельствует о наличии программы.

теперь скачаем пример скрипта который запускает ПХП демонов, заходим в нужную нам папку /home/hfgg_ru/ и набираем wget http://www.lighttpd.net/download/spawn-php.sh
немножко редактируем появившийся файл и добавляем в него
## bind  unix domain socket
FCGISOCKET="/home/hfgg_ru/sockets/test.php.sock»

в итоге получаем что-то типа
пример

Загружается...

---

Теперь мне надо настроить вебсервер, так чтобы на каждый поддомен открывался свой сайт.
структуру каталогов я определил раньше.  Соответствено в каждом пользовательском каталоге будет веб-папка «htdocs», в ней и будут лежать пользовательские сайты. По мимо всего прочего я хочу чтоыб пользовательские скрипты запускались с правами этого самого пользователя. Мне кажется это позволит обезопасить других пользователей и сервер в целом от взломанного поддомена.

настроим например наш тестовый сайт test.hfgg.ru,

какими терниями я пришел к такому конфигу я уже не вспомню, много гуглил и эксперементировал, но вот что получилось:

$HTTP[«host»] =~ "^test\.hfgg\.ru$» {
    server.document-root = "/home/hfgg_ru/domains/test.hfgg.ru/htdocs»
    server.errorlog = "/home/hfgg_ru/logs/test.hfgg.ru.error.log»
    accesslog.filename = "/home/hfgg_ru/logs/test.hfgg.ru.access.log»

        fastcgi.server = (
         ".php» = > (
          «localhost» = > (
           «socket» = > "/home/hfgg_ru/sockets/test.php.sock»,
            «bin-path» = > "/usr/bin/php-cgi —c " "/home/hfgg_ru»,
             «min-procs» = > 1 ,
              «max-procs» = > 1 ,
#              «bin-environment» = > (
#               «PHP_FCGI_CHILDREN» = > «32» ,
#                «PHP_FCGI_MAX_REQUESTS» = > «3200»
#                )
                       «bin-copy-environment» = > (
                                                «PATH», «SHELL», «USER»
                                                                      )
                  )
                   )
                   )
}

Ставить ужасно просто: набераем в консоли
yum install vsftpd
а вот с настройков мне пришлось повозиться, возникла куча проблем, пришлось разбираться с правами доступа и другими тонкостями пользовательской системы.

Для начала надо определиться со структурой пользовательских каталогов.
все пользователи живут в папке home, там у меня будет папка основного пользователя hfgg.
/home
      -/hfgg
              -/domains
                           -/hfgg.ru
                           -/jidis.hfgg.ru
                           -/test.hfgg.ru
              -/logs
в /domains я буду складывать все домены пользователей хостинга.
Папка пользовательского домена будет являтся домашней соответствующего пользователя.
Вот в нее-то наш пользователь и должен будет попадать, когда будет заходить по ФТП.
Причем необходимо ограничить его передвижения только этой директорией и ее поддерикториями.

отступление: jidis.hfgg.ru — форум моего родного клана ДжЫдаИ :) . им даже до сихпор кто-то пользуется, поэтому его трогать не будем, когда все будет настроено, отдам им данные от ФТП и базы MySQL. А пока все эксперименты будем проводить с пользователем test.

vsftpd для своей работы берет пользователей из юникса.  т.е. любой пользователь юникса получает автоматически аккаунт ФТП, не правда ли удобно? :)
берется логин, пароль и домашняя директория. 
Через ВебМин создаем нового пользователя test и определим его в новую группу hostusers, домашнюю директорию указываем /home/hfgg/domains/jidis.hfgg.ru
дополнительные группы никакие не указываем
доступ шелл выбираем nologin, если это поле оставить пустым или выбрать false, то пользователь вообще не будет пускаться на ФТП. а ноулогин выбираем, чтобы пользователи не могу подключаться по SSH, это слишком большая роскошь для бесплатного хостинга, да и это совершенно не к чему моим будущим пользователям.

Проверяем, конектимся, зашибись получилось :))
пробую вылить файл — хрен тебе…
копаю настройки ФТП, все-таки дефолтные пока использовал, ниче не выходит, тут доходит что пользователь и группа на /home/hfgg/domains/jidis.hfgg.ru рут рут под которым я эту папку создал. Меняю пользователя и группу на test hostusers, конекчусь заливаю файлы все круто. :)))
тыкоюсь в корневой папке на две точки.. меня выбрасывает на уровень вверх, потом еще выше, и вот я вижу корень своего сервера, и это все из-под юзера test, очень плохо, я могу увидеть все файлы и почти все открыть и просмотреть.  мне это не нравится.  начинаю дальше разбираться с настройками vsftpd.

chroot_local_user       
Если выбрано локальные пользователи будут (по умолчанию) перенесены в chroot () «заточение»
в их домашнем каталоге после входа. Внимание: эта опция имеет смысл быть включенной из
соображений безопасности, особенно если пользователи имеют права позволяющие загрузку
файлов на сервер, или shell доступ. Включать только если вы действительно уверены что
знаете зачем вам это нужно. Заметим что эта опция безопасности в системах класса unix,
характерна не только для vsftpd, используется и в других FTP серверах.   

таинственный chroot , что такое я так и не понял пока (если кто-то может популярно объяснить, пожалусто в комментарии), для чего служит в принцепе понятно, т.е. создает что-то типа виртулаьного окружения за пределы которого нельзя выйти,  но как это работает — загадка.

ну собственно ниже то что получилось
vsftpd.conf

Загружается...

---

Значит как ставить, я более менее понял, приступим:

http://www.openkazan.info/lighttpd-php5-mysql-centos5,0 (копия —http://docs.google.com/Doc?id=d3w5xmz_24r7wxzrgz)

Продолжаю гуглить по сабжу, выясняется, что центос не что иное как бесплатная версия RedHat Linux , собранная каким-то умельцами.   А значит все что подходит для RedHat Linux — подходит и для моего центоса.

Несмотря на то что я какми-то непонятным волшебным образом установил Webmin, надо все-таки уточнить как ставятся программы в линукс, поиск дает следующее:
http://easylinux.ru/node/93
копия статьи

Загружается...

---

Загружается...

---

Загружается...

---