Как запретить юзеру выходить из своей директории по ssh?

Нормальный вариант, только не 0711, а 0710

1 для группы, а в группе у нас апач, если он не от юзера запускается ☝

PS. жаль никто не поделится секретом как апач от юзера пускать с производительностью как у mod_php

apache mpm itk - очень хороший вариант, уже больше года на нескольких серверах работает, правда пришлось пошаманить, чтобы заставить на нем Zend работать

И его последователь mpm peruser есть, наслышан, что там там куча багов на разных OS, да и работает ли с последним апачем? (баги вплоть до порождения огромного числа процессов и зависания OS)

особенно этот факт беспокоит, сколько и как шаманить прийдётся чтобы до ума довести 🙄

mpm peruser - не пробовал

mpm itk стабильно работает больше года на FreeBSD 6 ну и пару месяцев на FreeBSD 7 и на CentOS 5

под CentOS нужно искать пакет (самому собрать пакет сложно и в двух словах не объяснить) под FreeBSD все прекрасно собирается из портов (достаточно в /etc/make.conf прописать строчку WITH_MPM=itk и собрать apache из портов)

В itk есть глюк, если собирать PHP как модуль для apache, после установки itk, то zend не работает, поэтому нужно сначало установить обычный apache, затем PHP, а потом itk, ну или ставить PHP из готового пакета

Из глюков замечено, что при большой нагрузке на винт (например во время бэкапа) и нашествии поисковых роботов на хостинг, apache с mpm itk иногда падает, но это бывает достаточно редко, примерно раз в два три месяца

Других глюков незамечено

А что мешает просто грмотно выставить права. Запретить для other просмотр папок что выше чем homedir.

Папки пользователей разрешить запускать только владельцу. То что у Вас они могут посмотреть /usr/bin и так далее я считаю ничего плохого так все эти папки одинаковы на всех подобных ОС. Но если совсем паранноя то можно и с ними поиграть. Если что-то хитрое надо то можно заморочиться с группами и еще по ним доступ нстраивать к разным папкам.

Система прав на папки очень гибкая. Можно настроить почти все.

У нас например вот так устроено. На /home 751 все могут в нее провалиться но содержимое получить может только root.

/home/user 501 принадлежит user:secure. secure - хитрая группа в которой у нас состоят все пользователи. 1 для other нужна чтобы всякие apache могли провлиться в папку чтобы файлики прочитать. И далее уже папка пользователя /home/user/data в которую он может писать.

В итоге пользователь видит только свою папку /home/user/data и не знает что Выше. И к другому пользователю он никогда не сможет попасть.

через mod_php попадут

Shirase, сколько юзеров на хостинге? как он себя ведёт, держит процессы разных пользователей? ведь не сразу же убиает процесс после выполнения скрипта, тормаза будут..

Если много пользователей - много процессов, будет хана оперативке)

ISPServer, вы что то путаете, в такую папку 501 может залезть любой, сами же сказали 1 для other

если и делать то так 510.. это я писал выше, только у вас ещё 5 вместо 7 для пользователя, 7 можно смело давать )

И собственно почему я не хочу использовать mod_php, да, его можно сделать полностью безопасным, openbasedir + disable functions + правильные права!

Но вот отслеживать нагрузку отдельных хостов практически невозможно, апач один, все процессы под ним, а дёргать server_status не совсем устраивает.. есть ещё варианты? )

В 501 может зайти любой, кроме юзеров входящих в группу.

"полностью безопасный" не бывает, особенно php. В нём регулярно находят методы обхода openbasedir/safemode.

Используйте директиву php_admin_value open_basedir в конфигурации виртуалхоста

может всётаки mpm itk и umask 022 ???