starting apache from user

в конфиге прописываешь группу и юзера, апач стартует, биндит порт и сбрасывает привилегии.

это понятно , но сушествует же первый процесс который запушен от рута .

а почему от простого юзера нельзя запустить ? что этому помешает ?

>что этому помешает ?

fixme!!! открыть порт ниже 1024

>а почему от простого юзера нельзя запустить ? что этому помешает ?

Ничего не мешает, только не рутовые процессы не могут биндить порты ниже 1024 и придется вешать индейца куда-нибудь на 8080.

и все ? это же совсем не проблема повесить порт выше 1024 , а на рутере сделать редирект портов - в смысле безопасности разве это не большой шаг ?

Т.к. в обычном режиме рабочие процессы апача и так работают от юзера, а не от рута, думаю, в безопасности тут сильно не выиграешь.

Меня вот тоже заинтересовало, что тогда делает рутовский процесс?

root@gw:~# ps -axu|grep httpd
root       587  0.0  1.6 74740 4284 ?        Ss   Mar05   0:00 /usr/sbin/httpd
#888       596  0.0  4.2 80348 10812 ?       S    Mar05   0:17 /usr/sbin/httpd
#888       597  0.0  3.9 80384 10120 ?       S    Mar05   0:18 /usr/sbin/httpd
#888       598  0.0  3.9 80420 10196 ?       S    Mar05   0:12 /usr/sbin/httpd
root       599  0.0  0.6  3648 1652 ?        Ss   Mar05   0:00 /usr/sbin/httpd
#888       601  0.0  3.9 80428 10200 ?       S    Mar05   0:16 /usr/sbin/httpd
#888       602  0.0  3.9 80400 10128 ?       S    Mar05   0:13 /usr/sbin/httpd
#888       629  0.0  0.5  3796 1496 ?        S    Mar05   0:00 /usr/sbin/httpd
#888       630  0.0  0.7  3784 1816 ?        S    Mar05   0:00 /usr/sbin/httpd
#888       631  0.0  0.7  3784 1808 ?        S    Mar05   0:00 /usr/sbin/httpd
#888       632  0.0  0.7  3796 1820 ?        S    Mar05   0:00 /usr/sbin/httpd
#888       633  0.0  0.7  3796 1812 ?        S    Mar05   0:00 /usr/sbin/httpd
#888      3398  0.0  3.9 80428 10188 ?       S    Mar05   0:15 /usr/sbin/httpd
#888      3411  0.0  3.9 80400 10176 ?       S    Mar05   0:13 /usr/sbin/httpd
#888      4014  0.0  3.9 80396 10144 ?       S    Mar05   0:17 /usr/sbin/httpd
#888      4017  0.0  0.7  3784 1808 ?        S    Mar05   0:00 /usr/sbin/httpd
#888      4060  0.0  3.9 80400 10148 ?       S    Mar05   0:13 /usr/sbin/httpd
#888      4061  0.0  3.9 80380 10144 ?       S    Mar05   0:13 /usr/sbin/httpd
#888      4857  0.0  0.7  3784 1808 ?        S    Mar05   0:00 /usr/sbin/httpd
#888      4864  0.0  0.7  3784 1808 ?        S    Mar05   0:00 /usr/sbin/httpd
root      2044  0.0  0.2  1672  584 pts/6    R+   14:37   0:00 grep httpd

Вот, у меня типа запущены апачи от имени пользователя с UID 888, 
а почему висят два процесса от рута? В выводе netstat написано, 
что именно они висят на порту 80.

Беглый просмотр доки ясности не внес :)

А у тебя что две копии апаче запущено?? Не понимаю. Вообще лучше просмотривать процессы с параметром f, так хоть видно где чьи потомки.

насколько мне известно процесс от рута это и есть родительский процесс apache а все остальное его форки ,но уже с дропнутыми привилегиями , а то-что именно они висят на 80 -ом порту то тоже понятно ведь 80 -это well-known порт и открыть его может рут.

>А у тебя что две копии апаче запущено?? Не понимаю

ага, на разных портах и из разных chroot-окружений :))

>а то-что именно они висят на 80 -ом порту то тоже понятно ведь 80 -это well-known порт и открыть его может рут.

Ой, а объясните мне кто-нибудь, как же это тогда выходит, вроде как и не привилегированный юзер и сброшенные права при старте, но на 80-м порту висит root'овый процесс и слушает запросы? :)

Точно не скажу, но по-моему где-то видел, что не может он полностью дропнуть привилегии из-за того, что в случае reconfigure (apachectl restart) может получиться так, что ему понадобятся права root-а (например, если кто-то захочет повесить его на другой привилегированный порт, скажем на 81).
Не знаю, как кто, а я в свое время все таки сделал так, чтоб он запускался не от root-а, повесил его на 8080 и сделал redirect. Проблем в работе не замечал.