Differences

This shows you the differences between two versions of the page.

--- doc:appunti:linux:sa:apache_php_optimization [2025/02/28 12:24] – [Web Resources] niccolo
+++ doc:appunti:linux:sa:apache_php_optimization [2025/03/31 10:42] (current) – [Metodo chroot] niccolo
@@ Line 9: / Line 9: @@
 I moduli disponibili installati dal pacchetto **apache2** sono **event**, **prefork** e **worker**.
+Per una configurazione Apache + PHP-FPM, il modulo MPM event è la scelta preferita. Offre migliori prestazioni, scalabilità ed efficienza gestendo le connessioni in modo asincrono, mentre PHP-FPM elabora separatamente gli script PHP.
 ===== Modulo MPM prefork e mod-php =====
@@ Line 31: / Line 33: @@
 </file>
-===== Modulo MPM (quale?), proxy_fcgi e php-fpm =====
+===== Modulo MPM event, proxy_fcgi e php-fpm =====
-FIXME Quale modulo MPM usare? event oppure worker?
 Secono le **[[https://cwiki.apache.org/confluence/display/httpd/php|raccomandazioni più recenti]]** tuttavia il modo più efficiente per eseguire Apache + PHP è tramite il modulo Apache **proxy_fcgi** che si interfaccia con il motore PHP tramite **php-fpm** (PHP FastCGI Process Manager).
@@ Line 73: / Line 73: @@
 systemctl status php8.2-fpm
 </code>
+Infine si cambia il modulo MPM da prefork a event:
+<code>
+a2dismod mpm_prefork
+a2enmod mpm_event
+systemctl restart apache2.service
+</code>
+Controllare che le pagine PHP siano correttamente interpretate e che il modulo MPM event sia effettivamente in uso:
+<code>
+apachectl -V | grep 'Server MPM'
+Server MPM:     event
+</code>
 === Altri moduli Apache consigliati ===
@@ Line 149: / Line 165: @@
   </IfModule>
 </file>
+===== Segregazione VirtualHost =====
+Su un host che ospita più di un VirtualHost potrebbe essere desiderabile isolare il PHP di un VirtualHost dai file degli altri VirtualHost ed anche dai file dell'intero sistema. Dal punto di vista della sicurezza ad esempio non è bene che da PHP sia possibile fare l'''fopen()'' di file tipo **/etc/passwd** oppure del file **wp-config.php** del Wordpress installato su un altro VirtualHost.
+Essenzialmente si può agire con un **chroot** per processo PHP oppure con la direttiva **open_basedir** del PHP.
+Il primo metodo è quello formalmente più corretto e sicuro, in quanto il processo PHP sarebbe effettivamente in esecuzione in un ambiente chroot e sarebbe il sistema operativo stesso a impedirgli di accedere fuori dalla propria DocumentRoot. Tuttavia questo metodo comporta **notevoli problemi** perché ad esempio impedisce l'**accesso alle librerie** PHP o JavaScript installate a livello di sistema.
+Il metodo che utilizza la direttiva **open_basedir** invece è più flessibile, ma affida la sicurezza all'assenza di bug nell'implementazione del linguaggio PHP.
+==== Metodo chroot ====
+Supponiamo che la DocumentRoot di un sito sia **/var/www/html/site.example.org/www/**, queste sono le direttive da aggiungere al file di configurazione **/etc/php/7.4/fpm/pool.d/pool.d.include/site.example.org.conf**:
+<file>
+[site.example.org]
+user = site-example-org
+group = site-example-org
+; This PHP-FPM instance is chrooted.
+chroot = /var/www/html/site.example.org
+chdir = /www
+; Values set here with php_admin_value belong to this pool only.
+; doc_root: (without chroot would be empty or the Apache DocumentRoot).
+php_admin_value[doc_root] = /www
+; cgi.fix_pathinfo: this is mandatory to let the chroot works.
+; See https://www.php.net/manual/en/ini.core.php#ini.cgi.fix-pathinfo
+php_admin_value[cgi.fix_pathinfo] = 0
+</file>
+In questo modo si ha un processo **php-fpm** che gira con le credenziali di //user// e //group// indicate e che è chrooted nella directory indicata.
+Purtroppo questa soluzione impedisce il corretto funzionamento delle librerie PHP, ad esempio il pacchetto **php-mail** installa i propri file in **/usr/share/php/** ed è impossibile eseguire il comando ''require_once "Mail.php";''.
+Vedere la discussione **[[https://serverfault.com/questions/733230/apache-file-not-found-after-setting-up-php-fpm-chroot|Apache: "File Not Found" after setting up php-fpm chroot]]**.
+==== Metodo open_basedir ====
+Con la direttiva PHP **open_basedir** si pone un limite a tutte le funzioni PHP che aprono file dal filesystem (ad esempio ''include'' o ''fopen()''). Il manuale PHP tuttavia avverte: //**Caution** open_basedir is just an extra safety net, that is in no way comprehensive, and can therefore not be relied upon when security is needed//.
+Ecco quindi come configurare l'istanza PHP-FPM di un VirtualHost nel file **/etc/php/7.4/fpm/pool.d/site.example.org.conf**:
+<file>
+[site.example.org]
+user = site-example-org
+group = site-example-org
+php_admin_value[open_basedir] = /var/www/html/site.example.org:/usr/share/phpmyadmin:/usr/share/doc/phpmyadmin:/etc/phpmyadmin:/var/lib/phpmyadmin:/usr/share/php:/usr/share/javascript:/tmp
+</file>
+Come si vede è necessario avere l'accortezza di includere tutte le directory delle estensioni installate a livello di sistema. Nell'esempio sopra è compreso il pacchetto **phpMyAdmin**, le varie **librerie PHP** e **JavaScript**. Anche la directory **/tmp** potrebbe essere utilizzata per la creazione di file temporanei, ecc.
 ===== Web Resources =====