Хостерам. Аудит безопасности.

Если используется nginx, то уже не прокатит, т.к. ему файлы нужно читать.

Если только ставить на php файлы одни права, а на статику другие. Хотя бы на файлы конфигурации (где важные данные, к примеру, подключения к базе) ставить права 600. Владелец файл прочитает, а другим - незачем.

Прикол ещё в том, что nginx часто работает под тем же юзером, что и apache по-умолчанию. Поэтому достаточно получить права www, чтобы открывать чужие файлы. И никакие open_basedir тут вообще ничем помочь не смогут.

А вот это если решите - тонну денег заработаете... Я серьезно. Я думаю, мало таких извращенцев, у которых httpd.worker и только CGI (я ztf и прочее не использую принципиально). Сейчас еще хочу per-user организовать... Думаю, ИМХО, будет правильнее.

Естественно.

Apache mpm-itk уже не позволяет получить права www, проверено. (по какой-то причине один раз удалось, не могу сейчас понять как так). А вот cgi/fastcgi без проблем.

Значит, права там касячные стояли на папки, ИМХО. Не думаю, что вы обращали внимание на такую мелочь... но mpm-itk положит высоконагруженные проекты, поэтому его использование чревато... cgi/fcgi зависит именно от прав, т.к. на них openbasedir не действует. Да и вообще openbasedir довольно глючная и неприятная штука....

Не причём тут cgi/fcgi. Просто если Apache идёт prefork и используется cgi/fastcgi, то можно через AddHandler заставить работать php от www, а не от юзера. Т.е. выключаем php и включаем через AddHandler. Получаем обычный mod_php с правами Apache (www). А если используется nginx, то эти права обычно позволяют открывать большинство файлов клиентов.

Намекает на отсутствие защиты/отключенный selinux. Теперь понятно, почему ты побоялся дать аккаунт для проверки.

Почитаешь вас - плакать хочется...

Третий вариант - нормально настроить сервер. Если там для работы хватает прав 700/600, и umask по умолчанию стоит для этих прав - юзерам незачем будет делать chmod, ибо все работает и так.

Andreyka, Евстественно, млин. Собери кумайл с включенным SELinux - будешь большой молодец. В остальном - купи акк, всего за 50 рублей. И получишь возможность делать все что хочешь с моим сервом (на что знаний хватит). Не такие уж и большие деньги, верно? Я не пиарюсь. Ах, да... Иногда наличие SELinux очень нежелательно, ибо некоторые разрабы до сих пор не умеют писать софт... Например, kloxo - всем знакомо? Так вот. Ищите серверы на ней - все "дырявые". Вебмин? Да не лучше...

Да, если апач работает в режиме префорк, можно запретить mod_php... оставить только сиджиай. У меня даже если апач переведу в префорк, такая записочка в >htaccess даст 500, т.к. я еще полгода назад перевел всех на cgi...

Да, и за разрешение доступа апачем как раз дают права. Ведь если поставить 640 скажем, файл просто не прочитается, верно? И, соответственно, не будет отображен... почему и ставят 644 обычно на файлы (чтобы оно читалось апачем). И, собственно, в режиме mod_php защищать должен open_basedir... Но тут начинается другой момент: если поддержки PHP на домене нет, панелька не прописывает openbasedir для виртуалхоста. А раз так - то подключается модуль в .htaccess... А вот если подключен cgi глобально, это еще может привести к 500 (от так). Соответственно, если openbasedir для виртуалхоста не прописывается панелью из-за cgi/fcgi, начинаем часто думать над правами (а должен ли этот файл читать апач)...