dank informatik

Bevor noch die Beschwerden einhageln, warum hier aktuell so wenig gebloggt wird, möchte ich dem proaktiv entgegen treten. Im Moment brummt’s ziemlich, weil wir letzte Woche auf einen neuen Sicherheitsmechanismus für’s Shared Hosting umgestellt haben. Die bisher eingesetzte Kombination aus CGIWrap und mod_phpcgiwrap (beide recht üppig für unsere Zwecke gepatched) war nicht mehr wirklich zufriedenstellend. Unflexibel in der Konfiguration, und auch nicht der sauberste/gepflegteste Code.

Was macht man dann als Informatiker? Ja, genau - man schreibt mal eben was eigenes… :-) Herausgekommen ist “seCGI”, das steht für “security enhanced Common Gateway Interface”. Dabei handelt es sich um ein auf suexec, CGIWrap und mod_(php)cgiwrap basierendes System. Und leckere Features gibt’s da:

  • Ausführung von CGI- und PHP-Scripten jeglicher Art unter der User-ID des jeweiligen Kunden
  • Kundenindividuelle Limitierung von Arbeitsspeicher, CPU-Zeit, Anzahl der Prozesse etc. direkt in der Apache-Konfiguration
  • Auswahl des PHP-Interpreters kundenindividuell möglich (*)
  • in sauberem C programmiert (nicht C++ wie suPHP; in meinen Augen macht das wenig Sinn für die C-API des Apache ein C++-Modul zu schreiben… inklusive dem ganzen Overhead mit der C++-Runtime usw.)

(*) Zum PHP-Interpreter verweise ich auf unsere Erfahrungen mit dem SourceGuardian-Loader; den betroffenen Kunden haben wir einfach auf 5.0.5 umgestellt, während alle anderen Kunden weiterhin mit PHP 5.1.4 arbeiten. Das soll mal einer nachmachen… :-)

Im Rahmen einer kleinen PR-Aktion soll unser neues seCGI dann auch als OpenSource-Software veröffentlich werden. Schließlich nutzen wir hier auch allerhand OpenSource-Produkte, da ist dass doch eine gute Gelegenheit mal was an die Community zurück zu geben. Das Logo für die Aktion steht auch schon:

dank informatik

Wer es noch nicht weiß: dieses (Wissenschafts-)Jahr ist der Informatik gewidmet. Wir sind nun offizieller Partner, und möchten mit dem Logo auch auf die Aktionen aufmerksam machen. Weitere Infos zum Wissenschaftsjahr finden sich auf http://www.informatikjahr.de.

4 Bemerkungen zu “dank informatik”

  1. xwolf

    Sag mal bitte bescheid, wenn ihr “seCGI” veröffentlich.
    Wir benutzen im Rechenzentrum suphp und suexec, aber können da leider ja eben keine bessere Limitierungen als den Timeout vornehmen (was aber auch bislang nicht wirklich notwendig war, trotz einer Unzahl von über 100 virtuelle Hosts pro Kiste hab ich eine CPU Auslastung unter 1% auf den Sunserver, sieht man von Peaks ab).

  2. Klaus Keppler

    Gerne - kein Problem :-)
    Wir haben auf manchen Maschinen übrigens durchaus über 200 virtuelle Hosts; die Limits sollen ja auch nur wildlaufende Scripts und übermutige Kunden ausbremsen…
    Habt ihr Apache 2.0 oder 1.3 im Einsatz? Produktiv läuft seCGI bei uns derzeit mit 1.3, das 2er Plugin muss noch geringfügig angepasst werden (vor allem wegen dem CGI Daemon für die Worker-MPM).

  3. xwolf

    Bei uns läuft Apache2…

  4. RackBlogger » Blog Archive » Rekursion ist sch**e

    […] Jedenfalls habe ich unser seCGI nun noch etwas modifiziert, damit die Anzahl der gleichzeitigen Kundenscripts besser und zuverlässiger limitiert werden kann. So bricht die Rekursion in diesem Fall nach einer bestimmten Anzahl an Aufrufen ab und liefert einen hübschen “500 - Internal Server Error” statt SMS-Meldungen von Nagios und Schweißperlen auf unseren Gesichtern. […]

Einen Kommentar schreiben