сам по себе chroot мало чем поможет в подобных ситуациях (изолированная среда хороша для статики, но когда речь идёт про динамику, тогда придётся туда пихать кучу ПО для поддержки работы этой самой динамики и в тоге будут те же яйца, только в профиль)
п.с. это всё было актуально раньше, сейчас существуют куда более гибкие решения, например SELinux
это называется suPHP+suEXEC+mod_security+cloudlinux+Grsecurity+кое что ещё (голова например)
п.с. это всё не более чем способы минимизировать подобные ситуации, но не панацея
используют обычно ПО типа s99shell и т.д. бинарник могут выполнить там, где есть права (в случае с DSO возможностей масса, особенно если олпенбаздир протекция не стоит и т.д.)
В данном случае не помогут ни лицензии, ни обновления, примерная схема следующая:
PHP работает в режиме DSO (у апача), на сервере живёт юзверь с CMS старых типов (например Joomla 1.0), или в ручном режиме или используя ботов нашли этот сайт, через XSS (и прочее) заливается ряд скриптов, те (через exec ф-ции)заливают бинарник и запускают его в /tmp, бинарник является экслоитом (бекдором и т.д. на выбор), далее в зависимости от ряда факторов (версии, наличие патчей и т.д.) выполняются деструктивные действия (от банальных перехватов управления процессов апача и выставления заставок на сайтах, что мол есть такие крутые перцы, что сделали это, до повышения привилегий до уровня root со всеми вытекающими).
Тут нужно понимать необходимость разделения отношения требований к конфигурации VPS (для частного проекта) и конфигурации сервера, предназначенного для услуг массового хостинга. На своём VPS можно при желании создать конфигурацию служб, при которой будет и безопасность высокая и ПО (скрипты) будут работать исправно, но когда требуется настроить службы для массового хостинга начинаются сложности, так как если перекрутить настройки, влияющие на безопасность, можно получить проблемы совместимости с кучей CMS и просто скриптов клиентов, если же напихать сервер модулями и расширениями (речь про apache и php в первую очередь) с одной стороны будет высокая вероятность отсутствия проблем с совместимостью и (или) логистикой понимания работы услуг со стороны клиента (к примеру вопросы работы прав chmod или директивы .htaccess), но с другой стороны подобные действия несут в себе опасность несанкционированного доступа (на подобие сложности, описанной в данной теме). Именно поэтому нет никакой *обычной* или *стандартной* конфигурации служб в условиях массового хостинга, каждый провайдер сам решает, какой баланс является оптимальным для предоставления услуг.
зависит от конфигурации связки apache+php (при определённых вариантах вполне типичная ситуация)
Небольшая акция:
http://www.hostplus.ws/tarifnyie-planyi-uslugi-vps-vds-hostinga.html
Тариф VPS-2VCPU с бесплатной панелью управления!
Цена - 69 WMZ/мес. (предложение актуально до 31 Августа 2011)
Процессор, vCPU - 2х 2260 МГц
Оперативная память, Mb 2048
Место на диске, Gb 60
Траффик без лимита (20-50 мегабит/сек выделенный канал для VPS, порт ноды 100 мбит-1гбит)
IP - адресов 2 (2 ip бесплатно, ещё 1 дополнительный ip-адрес: 1 WMZ в месяц)
Теперь плюшки:
Бесплатно панель управления на выбор:
ISP Manager Lite
ISP Manager Pro
DirectAdmin
cPanel/WHM
Выбор площадки размещения VPS выполняется по желанию клиента :
1) VPS сервера в ЦОД "Караван-Телеком" (г.Москва)
2) VPS сервера в ЦОД "SoftLayer" . США
3) VPS сервера в ЦОД "Avaya Databurg,LeaseWeb" Германия
п.с. резервные копии VPS создаются автоматически с помощью ПО R1Soft + возможность создать копию средствами Virtuozzo Power Panel в любой момент.
судя по требованию php 5.3 это или что-то самописное или новые версии CMS, где код написан с учётом требований php 5.3
1) Стоимость лицензии зависит от конфигурации используемого сервера и может достигать $92.00 USD Monthly
2) Я в расчёт брал готовый продукт, где кроме LiteSpeed Web Server Enterprise Edition потребуется аренда ряда других продуктов, что в сумме будет около 100-300 у.е. в месяц только аренды ПО
В США есть более менее крупные провайдеры, где используется Litespeed для шареда (обычно кстати его ставят вместе с CloudLinux), на территории СНГ я знаю только один такой провайдер (правда там самописная панель), не думаю, что Вас закидают предложениями, советую копать в сторону провайдеров США (искать через западные форумы)
п.с. лицензия Litespeed стоит не дешево (сложить вместе Litespeed + cPanel/WHM + CloudLinux = цена средненького дедика), при этом эффективность именно Litespeed не столь очевидна (Enterprise Edition разумеется, так как Standard Edition не подходит для шареда). nginx нельзя опять же сам по себе использовать для шареда, только как фронтэнд (отдача статики и (или) кеширование), но именно веб-сервер основной будет Apache в этом случае (.htaccess и прочее). Эффективность в условиях массового хостинга опять же поставил бы под вопрос... Так-же в этот список можно добавить Varnish (но опять же полноценным веб-серверов и его назвать нельзя). Если смотреть на опыт лидеров мирового рынка, то там используют просто Apache, только с оптимизацией (как самого веб-сервера, так и работы веб-сервера с PHP, тем более что под Apache есть собственные разработки в этом направлении ).
Вы вправе требовать то, что Вам нужно и хочется, но нужно объективно смотреть на реальность услуг. Можем реализовать нужные Вам решения, но на VPS сервере.
