ADMIN Magazin Gestapelt - Schneller und sicherer mit RAID (Vorschau)

dann im Slow-Log vermerken, wenn ein
PHP-Interpreter auch nach über einer
halben Minute noch keine Antwort geliefert
hat (Abbildung 7). Alternativ zu
»s« für Sekunden kann man die Zeit auch
in Minuten (Kürzel »m«), Stunden (»h«)
und Tagen (»d«) angeben.
Seine eigenen Probleme und interne Fehler
schreibt PHP-FPM übrigens standardmäßig
in die Datei »/var/log/php5‐fpm.
log«. Darin findet man auch Hinweise auf
fehlerhafte Konfigurationsdateien.
Schwedische Gardinen
Wer sich um die Sicherheit seines Webservers
schert, kann alle Interpreter-
Prozesse eines Pools in eine sogenannte
Chroot-Umgebung stecken. Dazu genügt
die Zeile:
chroot = /mein/gefaengnis
in der Konfigurationsdatei des Pools.
Hinter dem Gleichheitszeichen steht der
absolute Pfad, der dann für die Prozesse
zum neuen Root-Verzeichnis wird – in
diesem Beispiel »/mein/gefaengnis«.
Den aktuellen Gesundheitszustand eines
Pools kann man über eine spezielle
Status-URL abfragen. Dazu ergänzt man
in der Pool-Konfiguration (aus Listing 1)
die Zeile:
pm.status_path = /status
Damit erfährt man später unter »http://
www.example.com/status« unter anderem,
ob die Prozesse des Pools gerade
laufen und wie viele Anfragen sie bereits
beantwortet haben. Standardmäßig
liefert PHP-FPM die Informationen als
reinen Text zurück. Man kann sie sich
aber auch in HTML oder XML verpacken
lassen. Dazu hängt man einfach an die
URL ein »?html« beziehungsweise »?xml«
an. Mit der Zeile:
ping.path = /ping
kann man später unter »http://www.example.com/ping«
schnell prüfen, ob der
Pool läuft. In diesem Fall gibt PHP-FPM
ein schlichtes »pong« zurück. Doch Vorsicht:
Nach diesen Informationen lecken
sich auch Angreifer die Finger. Man sollte
die Funktion daher im produktiven Betrieb
möglichst deaktiviert lassen oder
zumindest den Zugriff durch den Webserver
einschränken.
Wenn ein Interpreter-Prozess zu lange
an einem PHP-Script knabbert, beendet
PHP-FPM ihn automatisch. Nach wie vielen
Sekunden, legt in der Konfigurationsdatei
»/etc/php5/fpm/php‐fpm.conf« die
folgende Zeile fest:
process_control_timeout = 10s
Reagiert hier ein Prozess 10 Sekunden
lang nicht, beendet PHP-FPM ihn automatisch.
Auch hier gelten wieder die
Abkürzungen »m« für Minuten, »h« für
Stunden und »d« für Tage.
Parallelverarbeitung
PHP-FPM stellt eine neue PHP-Funktion
»fastcgi_finish_request()« bereit. Wie ihr
Name schon andeutet, beendet sie die
Anfrage, das Skript läuft hingegen im
Hintergrund noch weiter. Ein Beispiel für
ihren Praxiseinsatz zeigt Listing 3. »fastcgi_finish_request()«
existiert allerdings
nur in PHP-FPM, auf anderen PHP-Interpretern
läuft das Skript nicht.
Fazit
PHP-FPM selbst erhöht die Sicherheit
und skaliert gut, beschleunigt durch seine
Arbeitsweise aber nicht automatisch die
Auslieferungszeiten gegenüber dem herkömmlichen
FastCGI-Interpreter. Die im
Internet veröffentlichten beeindruckenden
Zahlen vergleichen meist Apache 2
inklusive »mod_php« mit einem schlanken
Webserver wie Ngnix und PHP-FPM.
Wer also die Antwortgeschwindigkeit
insgesamt erhöhen möchte, muss noch
weiter optimieren. (ofr)
n
Infos
[1] FastCGI: [http:// www. fastcgi. com]
[2] PHP-FPM: [http:// php‐fpm. org/]
[3] PHP-FPM im PHP-Manual: [http:// php. net/​
manual/ en/ install. fpm. php]
[4] Mod-Fastcgi:
[http:// www. fastcgi. com/ dist/]
Der Autor
Tim Schürmann ist selbstständiger Diplom-
Informatiker und derzeit hauptsächlich als freier
Autor unterwegs. Zu seinen Büchern gesellen
sich zahlreiche Artikel, die in Zeitschriften und
auf Internetseiten in mehreren Ländern veröffentlicht
wurden.
ESET
ENDPOINT
LÖSUNGEN
ITPROFIS VERTRAUEN
AUF ESET.
„Im Laufe der Jahre und Testreihen
zeigte sich immer wieder, dass ESET
leistungsfähige Sicherheitslösungen
mit geringster Systembelastung
entwickelt.“ (Andreas Clementi,
Gründer und Vorsitzender bei AV-
-Comparatives)
Erstklassiger Schutz für Ihre
Endpoints mit der mehrfach ausge-
zeichneten Erkennungstechnologie,
cloudbasiertem Scan, Webkontrolle
und Remote Administration.
www.eset.de
www.admin-magazin.de
Ausgabe 06-2012
33