я использую mod_itk как MPM для повышения безопасности в общей среде. У меня также есть сервер синхронизации Firefox в одном из хостов VHosts, который я размещаю. Этот виртуальный хост ограничен определенным пользователем через AssignUserId user group.
Проблема в том, что розетка /var/run/wsgi...whatever.sock изменен srwx------ и принадлежит Apache wwwrun. Пока я настраивал vhost с
WSGIProcessGroup sync
WSGIDaemonProcess sync user=djechelon group=djechelon processes=1 threads=5
Я все еще получаю сообщение об ошибке, что Apache хочет получить доступ к недоступному сокету, и из-за этого выдает ошибку.
Можно ли настроить mod_wsgi для создания разных сокетов с разными владельцами для разных приложений или изменить его сокет другим способом (менее безопасным)?
В настоящее время я использую Firefox Sync как единственное приложение WSGI. Перемещение его на vhost, который не AssignUserId может решить эту проблему, но заставит меня изменить URL (и купить дополнительный сертификат SSL), поэтому я бы не стал рассматривать это
Вам нужен mod_wsgi 3.3 или новее, а исходный код mod_wsgi должен быть скомпилирован для полного Apache с файлами заголовков разработчика, соответствующими ITK MPM. Вы не можете использовать двоичный файл mod_wsgi, скомпилированный с MPM worker или prefork, поскольку необходимая вам поддержка ITK - это время компиляции.
К сожалению, дистрибутивы Linux, которые предоставляют вариант Apache ITK MPM в качестве опции, похоже, не предоставляют варианты пакетов httpd-dev или apache2-dev, соответствующие тому же самому ITK MPM. В результате людям обычно приходится создавать собственный Apache из исходного кода с ITK MPM и надлежащих файлов заголовков с ITK-версией mpm.h, чтобы заставить его работать.