- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
На выделенном сервере несколько проектов. У каждого проекта свой владелец.
Конфигурация Apache по-умолчанию позволяет из корня одного сайта получать доступ к файлам других сайтов и к корню сервера.
Самый простой способ закачать PHP шелл (r57shell, antichat shell и т.п.) - и вы получаете доступ ко всем системным файлам!
Каким образом вы ограничиваете chroot Apache?
Ко всем системным файлам в любое случае не должен быть доступ. А доступ на чтение ко всяким системным библиотекам - там ничего секретного нет.
Если же все действительно так плохо и хочется делать в chroot - есть много вариантов как это можно сделать. И апачем, и php-fpm.
Если у каждого проекта свой владелец, проекты независимы - никакого "доступа к файлам других сайтов" быть не должно. Используйте хоть тот минимум, что позволяет PHP. Например, директиву open_basedir.
Хотите большего - можно что-то типа PHP-CGI взять + suexec под отдельных пользователей.
На выделенном сервере несколько проектов. У каждого проекта свой владелец.
Конфигурация Apache по-умолчанию позволяет из корня одного сайта получать доступ к файлам других сайтов и к корню сервера.
Самый простой способ закачать PHP шелл (r57shell, antichat shell и т.п.) - и вы получаете доступ ко всем системным файлам!
Каким образом вы ограничиваете chroot Apache?
потёр...сори за офф топ
mpm-itk заменяет чрут
Хотите большего - можно что-то типа PHP-CG
тогда уж сразу php as fastcgi для нескольких проектов самое оно, ну и php-fpm как сказали выше тоже хорош.
ТС говорил про доступ к системным файлам, а не к файлам других пользователей.
php cgi, suexec и прочее не даст запрет на доступ к системным файлам
ТС говорил про доступ к системным файлам, а не к файлам других пользователей.
php cgi, suexec и прочее не даст запрет на доступ к системным файлам
Не только. Во-первых, сказано следующее:
"Конфигурация Apache по-умолчанию позволяет из корня одного сайта получать доступ к файлам других сайтов и к корню сервера. "
"php cgi, suexec и прочее не даст запрет на доступ к системным файлам" - а какая в них тайна?
В случае если CHMOD установлен правильно, то получить доступ к файлам от имени пользователя не являющегося владельцем этих файлов не представляется возможным.
Рекомендую установить mod_suphp (php-CGI) (http://www.suphp.org/), Вы сможете получить максимальную безопасность с небольшой потерей в производительности.
Или же mod_php + suhosin patch (http://www.hardened-php.net/suhosin/) + грамотно настроенные директивы типа: open_basedir.
И для обеих методов рекомендую привести список запрещенных функций в PHP.INI (параметр disable_functions) к следующему виду:
set_time_limit-то чем не угодил?
stack, а чем suphp отличается от php-cgi+suexec?
ТС говорил про доступ к системным файлам, а не к файлам других пользователей.
php cgi, suexec и прочее не даст запрет на доступ к системным файлам
А зачем ограничивать доступ к системным файлам? Там ге надо - и так все ужато