Мучаемся стандартной проблемой начинающего хостинга. ПУ Plesk (но это не очень важно).

При установке, большинство CMS требуют прав на запись для пользователя Apache. Соответственно если дать такой доступ для всех пользователей, то понятно, с какими проблемами мы столкнемся.

Понятно, что различные jail спасают эту ситуацию. Но это уже почти VDS.

Неужели нет другого выхода и все используют именно jail-окружение и его аналоги?

Запускать apache (itk/peruser) или php (CGI/FastCGI) под uid пользователя, например.

С этим, к сожалению, бывает часто много проблем. Если хотите сами эксперементировать - не забывайте проверять php-shell`ами + отключать cgi (можно давать при необходимости) и уж точно не давать shell (только в jail)

Спасибо за дельный ответ.

Но если например, значит есть еще варианты? Озвучите?

И я все никак не пойму, почему уважаемые разработчики Parallels не удосужились реализовать такую схему.

У "уважаемых" разработчиком паралельса есть более важные проблемы
Например - бекапы сделанные в их ПУ Плеск после очередного апдейта ПУ Плеск не восстанавливаются через ПУ Плеск

Ну тут, конечно, довольно долго можно рассуждать.... Резервные копии делаются в этот ужасный формат (его преимущества я не изучал), который хрен раскроешь. Админы-то кое-как раскрывают, а вот пользователям, это явно не дано....

И все же если можно по теме, что-нибудь еще, пару мыслей.

Кошерное решение без влезания в кишки панели придумать сложно. "Не кошерные", типа chmod -R 777 /home даже рассматривать смысла нет.

Так тема стара как мир... ничего общедоступного нового пока не придумано.
apache + php as cgi со всеми вытекающими последствиям, но как самое доступное решение.
nginx + php-fpm, если только nginx-а достаточно для работы.
Ну или php как модуль, но с ковырянием всего и вся (обычно, закрытые решения). Если бы разрешалась реклама, то привел бы пример ;)

Погуглил ради интереса. Вообще, информации на этот предмет в тырнете (причем даже буржуйском) прескорбно мало, да и то - все больше пространные рассуждения на тему, чем реальные способы. Неужели все сидят с незащищенным модулем?

Или писать очередную инструкцию "установка wordpress для САМЫХ ПОЛНЫХ чайников" просто проще и выгоднее, чем что-то реально полезное и никто не пишет?

это вы про какой модуль, "не защищённый" mod_php ?

Пошаговых инструкций об установке php as cgi как я помню раньше было много, сейчас не исследовал.
А по поводу того как модуль сделать защищенным вряд ли кто-то напишет, так как это обычно дорогое ноу-хау, которое дает конкурентное преимущество.

1) скорее права на запись для владельца запускаемого скрипта
2) а как вы считаете работало, работает и будет работать куча виртуалхостингов с apache + mod_php где всё принадлежит пользователю apache ?
за open_basedir вроде тоже уже 100 лет никто не вылезал....
да и дыр никто не находит (это я про доступ в чужой хомяк)...

Неужели еще кто-то так работает?

Уйма хостеров. Включил safe_mode и вперед

Еще есть вариант с mpm-itk, есть опыт успешных реализаций на всех используемых панелях управления, в том числе и Plesk
По бэкапам - там начиная с 9.2 версии вполне нормально уже с ними.

mpm-itk вполне хорошо себя показал на шареде, работает достаточно быстро и стабильно. Но "из коробки" есть только в ISPmanager, в DirectAdmin/cPanel/Plesk требует доработки напильником (шаблоны конфигов, пермишны на директории и т.д.).

Вот кстати еще одна загадка - почему производители панелей не хотят давать пользователю свободу выбора MPM. А некоторые, не будем показывать пальцем, даже способов подключения PHP.

Не обязательно. exec запретить, а так и open_basedir хватит.

<offtopic>

Дельный ответ с примерами на прямо поставленный вопрос никогда нашими модераторами рекламой не назывался. Реклама, Денис, это когда садишься перед телевизором смотреть кино про Тибет, а тебе показывают про прокладки и памперсы. Но когда собираешься смотреть про памперсы, а тебе их и показывают, то это уже не реклама, хотя ролики те же, что и в первом случае .
</offtopic>

Насколько я помню - PSA жестко генерит шаблон виртхоста и itk подключить проблематично
А вот fcgi через .htaccess включается на ура

Ну если не надо показывать, как памперсы изготавливают, то могу показать итог их работы
А вообще я лучше напишу статью "php as cgi для чайников" и дам в конце рекламу на альтернативный лучший метод, но который стоит денег И правила не нарушу и эффективнее будет.
PS крутой офтоп
Про тибет соседняя тема навеяла?

fcgi там из коробки работает, и на винде и на Linux

<offtopic, sorry>

Да. И вид из окна второго этажа, до которого уже дотянулись сугробы. Начнут таять, буду вспоминать просторы Байкала .
</offtopic>

Ну хорошо, хоть к 9-ой версии допилили. Плохо что у них на это ушло больше 3-х лет

Не сочтите за рекламу
Есть средство "из коробки" сервер называется litespeed (litespeedtech.com), огромный минус - в их ТОС прописан запрет на использование для порнографии, стоит довольно небольших при этом денег, сервер довольно шустрый и работает примерно как nginx+php-fpm с поддержкой htaccess, php на уровне mod_php и вкусностей типа ruby on rails, python, mod_security, легким антидосом.
Сам php работает от пользователя указанного в конфиге, заменяет apache из коробки, поэтому прозрачен для панелей управления, в итоге можно думаю и на плеске ставить его.
Звучит это все красиво, но вот чем им порно не удел непонятно, itk + nginx выглядит намного лучше из-за этого как раз.

Да, знаем про такой. Ну это как бы тоже чужой ноу-хау, который стоит хороших денег и не так, что заплатить всего один раз. Если, например, настроить сервер у меня стоит 200 евро, а дальше можно поадминить и самостоятельно, то это получается намного дешевле. Платить регулярно за веб-сервер мало какой заказчик захочет. Все же это не панель управления со всеми наворотами, для которой бесплатный достойный аналог найти сложно. Я, кстати, ужасно не люблю продукты, в которых нет вечной лицензии.

PS
Про порно есть какой-то подтекст, который я не понимаю, или Вы реально этим озабочены?

<irony>Да, а еще можно заказать настройку, потом расковырять по винтикам и внедрить еще на сотне серверов.</irony>

Можно еще нуленый litespeed поставить

Куда это вас понесло, господа? Один о порнухе сожалеет, другой нуленные рекомендует... Я что-то пропустил? Вчера был трудный день?

Нет, просто непонятен такой отбор (хотя я к порнографии сохраняю нейтралитет). Принципиально то, можно и закрыть прокси сервером любое упоминание о Litespeed.
То ли это у них ханжество так развито, то ли кто-то из разработчиков "пострадал" от порно-индустрии.