Installation de mod_perl à partir des sources pour Apache/HTTPD 2.4.x

La sortie de la version 2.0.9 de mod_perl au mois de juin 2015, a apporté le support de la branche 2.4.x de Apache/HTTPD.

Dans cette documentation, nous allons installer mod_perl à partir des sources de manière dynamique. Cette installation a été réalisée sous une distribution CentOS 7.

– Installez un client HTTP en ligne de commande : yum install wget
– Installez un compilateur C et l’utilitaire make : yum install gcc make

– Installez les bibliothèques de développement de Apache/HTTPD : yum install httpd-devel
– Installez PERL et les dépendances nécessaires à mod_perl : yum install perl perl-ExtUtils-Embed gdbm-devel perl-Data-Dumper

– Placez-vous dans le répertoire suivant : cd /usr/local/src/
– Téléchargez les sources de mod_perl 2.0.9 (ou version supérieure si disponible) avec la commande wget : wget http://apache.mirrors.ovh.net/ftp.apache.org/dist/perl/mod_perl-2.0.9.tar.gz
– Décompressez l’archive : tar -xzvf mod_perl_2.0.9.tar.gz
– Placez-vous dans le répertoire suivant : cd mod_perl-2.0.9
– Spécifiez l’emplacement de l’utilitaire de compilation apxs pour la compilation du module dynamique mod_perl : perl Makefile.PL MP_APXS=/usr/bin/apxs
– Compilez mod_perl : make
– Installez mod_perl : make install

Le module dynamique mod_perl.so est installé dans le répertoire /usr/lib64/httpd/modules/.

– Créez un fichier de configuration pour charger le module dynamique mod_perl dans Apache/HTTPD : vi /etc/httpd/conf.modules.d/02-perl.conf

LoadModule perl_module modules/mod_perl.so

– Redémarrez le service Apache/HTTPD : systemctl restart httpd
– Vérifiez l’état du service Apache/HTTPD : systemctl status httpd
– Vérifiez la présence du module dynamique mod_perl dans Apache/HTTPD : httpd -M

perl_module (shared)

Installation de Apache/HTTPD 2.4.x à partir des sources

La fondation Apache a annoncé cette semaine la sortie d’une version majeure du célébre serveur Web, Apache/HTTPD. La branche 2.4.x apporte plusieurs nouvelles fonctionnalités et quelques changements notables.

Dans cet article, en attendant la mise à disposition des paquets dans les différents dépôts, nous allons installer cette version directement depuis les sources.

Nous nous sommes appuyé sur une distribution CentOS 6.2, installée en version minimale.

Le module MPM (Modules Multi-Processus) utilisé par défaut, est event. Pour le modifier, vous devez ajouter l’argument –with-mpm (par exemple, –with-mpm=prefork si vous souhaitez utiliser PHP avec son module DSO). Autre changement, les modules de Apache/HTTPD sont intégrés dynamiquement par défaut (DSO, Dynamic Shared Objects).

Pour commencer, nous allons installer les outils de compilation.

– Installez un client HTTP en ligne de commande : yum install wget
– Installez un compilateur C et l’utilitaire make : yum install gcc make

Notre utiliserons le répertoire /usr/local/src/ comme répertoire de travail. La version disponible lors de l’écriture de cet article, est la version 2.4.1.

– Placez-vous dans le répertoire suivant : cd /usr/local/src/
– Téléchargez la dernière version de la branche 2.4.x de Apache/HTTPD : wget http://mir2.ovh.net/ftp.apache.org/dist//httpd/httpd-2.4.1.tar.gz
– Décompressez l’archive de Apache/HTTPD dans ce répertoire : tar -xzf httpd-2.4.1.tar.gz
– Placez-vous dans le répertoire suivant : cd httpd-2.4.1

Les arguments dépendent bien évidemment de votre usage de Apache/HTTPD. Vous pouvez par exemple activer le module de réécriture d’URL (–enable-rewrite), le module de compression des pages retournées (–enable-deflate), … Dans ce cas, d’autres dépendances devront certainement être installer.

– Configurez : ./configure –prefix=/usr/local/httpd –sysconfdir=/etc/httpd/conf –enable-so –enable-alias –with-mpm=prefork –disable-status –disable-cgi –disable-userdir

checking for chosen layout... Apache
checking for working mkdir -p... yes
checking for grep that handles long lines and -e... /bin/grep
checking for egrep... /bin/grep -E
checking build system type... x86_64-unknown-linux-gnu
checking host system type... x86_64-unknown-linux-gnu
checking target system type... x86_64-unknown-linux-gnu

Configuring Apache Portable Runtime library ...

checking for APR... no
configure: error: APR not found. Please read the documentation.

Un message d’erreur nous indique que APR n’a pas été trouvée. APR (Apache Portable Runtime) est nécessaire au serveur Web, Apache/HTTPD. APR était auparavant inclus dans la branche 2.2.x. Ce n’est plus le cas avec la branche 2.4.x.

Même chose pour APR-UTIL (Apache Portable Runtime Utility).

Il est possible d’utiliser le dépôt pour installer APR et APR-UTIL. Cependant, nous n’allons pas nous priver des dernières versions et allons récupérer directement leurs sources. D’autant plus que leur installation est gérée par Apache/HTTPD. Il suffit simplement de décompresser les sources dans le sous-répertoire srclib de Apache/HTTPD.

– Placez vous dans le répertoire /usr/local/src/ : cd ..
– Téléchargez les sources de la dernière version de APR : wget http://mirrors.ircam.fr/pub/apache//apr/apr-1.4.6.tar.gz
– Téléchargez les sources de la dernière version de APR-UTIL : wget http://mirrors.ircam.fr/pub/apache//apr/apr-util-1.4.1.tar.gz

– Décompressez l’archive de APR dans le répertoire srclib : tar -xzf apr-1.4.6.tar.gz -C httpd-2.4.1/srclib/
– Renommez le répertoire : mv httpd-2.4.1/srclib/apr-1.4.6 httpd-2.4.1/srclib/apr

– Décompressez l’archive de APR-UTIL dans le répertoire srclib : tar -xzf apr-util-1.4.1.tar.gz -C httpd-2.4.1/srclib/
– Renommez le répertoire : mv httpd-2.4.1/srclib/apr-util-1.4.1 httpd-2.4.1/srclib/apr-util

– Placez-vous dans le répertoire contenant les sources de Apache/HTTPD : cd httpd-2.4.1
– Configurez à nouveau : ./configure –prefix=/usr/local/httpd –sysconfdir=/etc/httpd/conf –enable-so –enable-alias –with-mpm=prefork –disable-status –disable-cgi –disable-userdir

checking for pcre-config... false
configure: error: pcre-config for libpcre not found. PCRE is required and available from http://pcre.org/

Un autre message d’erreur nous apprend que pcre-config n’a pas été trouvé. PCRE (Perl Compatible Regular Expressions) est aussi un pré-requis au serveur Web, Apache/HTTPD. Il n’est plus inclus avec la branche 2.4.x.

– Installez les paquets suivants : yum install pcre pcre-devel

– Placez-vous dans le répertoire suivant : cd httpd-2.4.1
– Configurez : ./configure –prefix=/usr/local/httpd –sysconfdir=/etc/httpd/conf –enable-so –enable-alias –with-mpm=prefork –disable-status –disable-cgi –disable-userdir
– Compilez : make
– Installez : make install

La version 2.4.1 de Apache/HTTPD est maintenant installée sur votre système (/usr/local/httpd/).

Il ne vous reste plus qu’à modifier le fichier de configuration de Apache/HTTPD (/etc/httpd/conf/httpd.conf) à votre convenance. La configuration devra être adaptée.

Executer des scripts php sous différentes identités.

Il peut parfois être utile que des scripts php s’exécutent sous différents UID/GID.

Dans notre exemple,nous allons faire en sorte que les scripts s’exécutent sous l’uid/gid du propriétaire du script. Nous allons également permettre d’executer des scripts sous l’identité du root (ATTENTION : CECI EST UNIQUEMENT FAIT A DES FINS PÉDAGOGIQUES ET NE DOIT PAS ÊTRE MIS EN PRODUCTION POUR DES RAISONS ÉVIDENTES DE SÉCURITÉ).

La plateforme utilisée est une Centos 5.5.

Tout d’abord, il convient d’installer apache ainsi que la version « cgi » de php.

yum install httpd httpd-devel php-common php-cli

Attention à ce que le module apache php ne soit pas installé sinon le désinstaller :

rpm -e php

Nous installons ensuite quelques outils de compilation

yum install autoconf gcc-c++ gcc libtool-ltdl-devel

Il nous faut ensuite installer apr depuis les sources :

wget http://mir2.ovh.net/ftp.apache.org/dist/apr/apr-1.4.2.tar.gz
tar zxf apr-1.4.2.tar.gz
cd apr-1.4.2
./configure --prefix=/usr/ && make && make install

Nous allons ensuite compiler et installer le module Apache suPHP :

wget http://www.suphp.org/download/suphp-0.7.1.tar.gz
tar zxf suphp-0.7.1.tar.gz
./configure --prefix=/usr --disable-checkpath --disable-checkuid --disable-checkgid --with-min-uid=0 --with-min-gid=0 --with-apache-user=apache --with-apr=/usr/bin/apr-1-config --sysconfdir=/etc --with-setid-mode=owner
make
make install

Si nous avions voulu interdire l’exécution de scripts possédant des uid/gid <100, il aurait fallu modifier les parametres –with-min-uid et –with-min-gid en conséquence.

Editons ensuite un fichier /etc/suphp.conf :

Modifions ensuite le fichier /etc/httpd/conf/httpd.conf.

Dans les options générales du fichier de configuration, ajoutons :

LoadModule suphp_module modules/mod_suphp.so
suPHP_Engine on

puis sous la section <Directory /var/www/html> :

  AddType application/x-httpd-php .php
  suPHP_AddHandler application/x-httpd-php

Il faut ensuite relancer le service avec :

service httpd restart

Pour tester, créons un fichier /var/www/html/test.php

<?
 echo("<html><body>");
 system("/usr/bin/id");
 echo("</body></html>");
?>

Positionnons les droits sur ce fichier sur root:root :

chown root:root /var/www/html/test.php

Si nous lancons un navigateur sur http://xxx.xxx.xxx.xxx/test.php
nous obtenons :

Et si nous changeons les droits sur le fichier :

chown nobody:nobody /var/www/html/test.php

Nous obtenons :

Le script est donc bien exécuté en fonction du propriétaire du script et non pas sous l’identité « apache:apache ».

suPhP propose de nombreuses options permettant d’affiner les permissions accordées aux scripts. Pour cela, consultez la documentation officielle ici.