![Citation](https://forum.developpez.be/images/misc/quote_icon.png)
Envoyé par
Guillaume.G
Je suis passé du module au php-cgi car, hébergeant plusieurs sites sur mon serveur, je l'utilise en conjonction avec suphp. Cela me permet de cloisonner les sites et d'utiliser des php.ini personnalisés.
Tu peux obtenir un résultat ~semblable avec mod_php :
- personnalisation de php avec des php_value, php_flag, php_admin_value dans le virtualhost
- utilisation d'un utilisateur distinct par site av ec le DocumentRoot dans son /home
- utilisation des acl (on peut aussi s'en sortir avec les groupes) pour permettre à Apache d'accéder aux fichiers du site et d'écrire dans certains répertoires (~docroot/tmp ~docroot/upload ...).
Avec cette stratégie tu peux donner à apache un utilisateur sans shell (nodody) ce qui est bien plus sûr à plusieurs niveau. Identification immédiate et verification des fichiers uploadés
1 2 3 4
| find ~docroot/img -user nobody | while read f
do
file $f |grep -q image || echo "$f n'est pas une image"
done |
Interdiction d'écrire dans certains répertoires (chmod o-r dir)
Plus grande difficulté en cas d'exploit a obtenir un shell
Meilleure facilité d'identification des process (ps -U nobody)
...
Partager