Если нужен exec в php и на сервере несколько веб-сайтов, то без mpm-itk вообще дырища получается. Ломают один сайт и имеют доступ ко всем другим хостам: exec(«cat /vhosts-root/любой файл»). Есть вариант с safe_mode, но его многие софтины его не поддерживают.
Есть проблема в ПХП с exec/system и т.д., на них open_basedir не действует. Если даже нельзя сделать file_get_contents('/etc/passwd') из-за open_basedir, то всё равно можно сделать passthru('cat /etc/passwd'). Или почитать файлы из другого виртуалхоста: passthru('path_to_other_documentroot/sites/default/settings.php'). Поэтому взлом одного сайта может означать взлом и всех остальных.
Решение: отключать все функции типа exec в php.ini. Если избранным сайтам всё-таки нужна какая-то из этих функций, то нужно ставить suhosin (http://www.hardened-php.net/suhosin/).
Еще мы на новый веб-сервер ставили mpm-itk.sesse.net/. Он позволяет выполнять обработку запросов апачем под разными юзерами (в зависимости от каталога). Тогда даже с наличием прав на exec или cgi-шки (они тоже редко, но нужны) нельзя было достучаться до соседних хостов (но можно будет достучатся до /etc/passwd, можно еще добавить chroot-а для апача).
Я открывал такие файлы только созданные самим же (через IE). И это было очееень давно… Другое дело, нельзя ли разместить на «вредном» сайте ссылку на такой файл или сделать iframe? Тестировать влом.
Простое увеличение heap в такой ситуации тоже может помочь, т.к. eden увеличится. Другое дело, что heap до бесконечности не увеличишь, у меня в winxp уже при -Xms1400M -Xmx1400M jvm не запускается.
В нашем случае увеличение heap нам никак не помогало (newratio не трогали), а увеличение permsize сразу всё решило.
Недавно была проблема с относительно большим приложением (dspace), никак не могли понять — то работает, то не работает, то тормозит, то подвисает и tomcat перезапускается по 20 минут или вообще не перезапускается.
Оказывается не хватало permgen, только тогда и узнал о его существовании. Увеличили его — всё прошло.
да, кстати, в стандартной консоли cmd.exe работать тяжко, видел как это делают, получается всё очень медленно… я работаю через Far + иногда через кнопки в editplus, очень редко через netbeans
1) А я обычно работаю с hg через консоль, даже если редактирую исходники через IDE с поддержкой hg.
2) Про последние замечания: если в IDE будут свои термины и свои методы работы с репами, то людям, уже знакомым с нужной DVCS, будет только больше головняка. Помню как я подвисал в netbeans, пытаясь понять, что значат те пункты меню, которые не совпадают с терминами hg.
Мы даже на новый веб-сервер планируем ставить 5.2.x ибо: PHP 5.3 is not yet supported by Drupal 5.x, but is supported by Drupal 6.14 core and higher (http://drupal.org/requirements). И у нас большинство сайтов на Drupal 5.x, меньше на 6.x, а один даже на 4.x.
Да и пара сайтов на Joomla тоже на версии, которая не поддерживает 5.3 (1.5.14).
Так это же не сумма контракта, это «обеспечение контракта» — типа залога от исполнителя. Если исполнитель ничего не сделает, то заказчик залог не вернёт. Эта сумма не больше 30% от цены контракта.
У него нет аутентификации, тянуть могут все (pull), заливать (push) — или никто или все. Для постояннодействующих репозиториев надо юзать cgi-шку, которая идет в поставке (hgweb).
Лень мешает… сейчас мне для создания репа надо сделать mkdir, hg init, прописать allow_push и всё. Настраивать всё практически заново намного дольше.
Ларчик проще открывался: есть опция allow_read в hgrc, в доках о ней почему-то редко упоминают (не всегда она была видимо). У меня работает. Дока: www.selenic.com/mercurial/hgrc.5.html
Не нравится в hgweb.cgi, что можно настроить права на push, но нельзя на hg pull. Т. е. если на сервере несколько репозиториев с аутентификацией по http(s), то все будут иметь доступ на чтение всех репов.
Решение: отключать все функции типа exec в php.ini. Если избранным сайтам всё-таки нужна какая-то из этих функций, то нужно ставить suhosin (http://www.hardened-php.net/suhosin/).
Еще мы на новый веб-сервер ставили mpm-itk.sesse.net/. Он позволяет выполнять обработку запросов апачем под разными юзерами (в зависимости от каталога). Тогда даже с наличием прав на exec или cgi-шки (они тоже редко, но нужны) нельзя было достучаться до соседних хостов (но можно будет достучатся до /etc/passwd, можно еще добавить chroot-а для апача).
Это не MHTML.
В нашем случае увеличение heap нам никак не помогало (newratio не трогали), а увеличение permsize сразу всё решило.
Оказывается не хватало permgen, только тогда и узнал о его существовании. Увеличили его — всё прошло.
Удивлён существованием jvisualvm, спс.
2) Про последние замечания: если в IDE будут свои термины и свои методы работы с репами, то людям, уже знакомым с нужной DVCS, будет только больше головняка. Помню как я подвисал в netbeans, пытаясь понять, что значат те пункты меню, которые не совпадают с терминами hg.
Да и пара сайтов на Joomla тоже на версии, которая не поддерживает 5.3 (1.5.14).
hgwebdir.cgi работает cgi-шкой под апачем без особых танцев с бубном
Мои настройки апача:
ServerName ДОМЕН
Redirect permanent / ДОМЕН/
ServerName ДОМЕН
ScriptAlias /mysqldump /var/hg/mysqldump.cgi
ScriptAliasMatch ^(.*) /var/hg/hgwebdir.cgi$1
CustomLog /var/hg/log/access.log combined
ErrorLog /var/hg/log/error.log
SSLEngine On
SSLCertificateFile /etc/apache2/ssl/apache.pem
AuthType Basic
AuthName «Mercurial Server»
AuthUserFile /var/hg/.htpasswd
require valid-user
Ларчик проще открывался: есть опция allow_read в hgrc, в доках о ней почему-то редко упоминают (не всегда она была видимо). У меня работает. Дока: www.selenic.com/mercurial/hgrc.5.html