M
MiXeR
Прохожие
- Автор темы
- #11
Модулем
LoadModule php5_module modules/libphp5.so
- Статус
LoadModule php5_module modules/libphp5.so
PHP_Master
Хранитель порядка
- Регистрация
- 3 Фев 2008
- Сообщения
- 2.639
- Реакции
- 601
exec можно и запретить - не особо часто он и используется.
В целом, если озабочены секурностью - либо ставить PHP как CGI, либо искать умельцев которые допилят апач, чтоб скрипты выполнялись с правами юзера, а не сервера.
В целом, если озабочены секурностью - либо ставить PHP как CGI, либо искать умельцев которые допилят апач, чтоб скрипты выполнялись с правами юзера, а не сервера.
M
MiXeR
Прохожие
- Автор темы
- #14
а если их запретить?
все равно через остальные функции php можно будет читать файлы
HOSTER
Профессор
- Регистрация
- 22 Апр 2008
- Сообщения
- 213
- Реакции
- 38
php.ini
safe_mode On
И красиво розставить chroot chmod chown - ет будет залог успеха + для каждого пользователя сделать свой tmp dir,Вот пример конфига Апача 1.3
php_admin_value open_basedir "/home/usr_name/data:."
php_admin_value upload_tmp_dir "/home/usr_name/data/tmp"
php_admin_value session.save_path "/home/usr_name/data/tmp"
/home/usr_name - собственно директория пользователя ( но по фтп доступа прям туда у него не должно быть )
/home/usr_name/data/ - а вот тут уже собственно корневая директрия ФТП
/home/usr_name/data/www/ - а вот тут уже собственно директории сайтов пользователей
/home/usr_name/data/www/site1.ru/
/home/usr_name/data/www/tite2.ru/
Вобшем смысл я думаю понятен)
safe_mode On
И красиво розставить chroot chmod chown - ет будет залог успеха + для каждого пользователя сделать свой tmp dir,Вот пример конфига Апача 1.3
php_admin_value open_basedir "/home/usr_name/data:."
php_admin_value upload_tmp_dir "/home/usr_name/data/tmp"
php_admin_value session.save_path "/home/usr_name/data/tmp"
/home/usr_name - собственно директория пользователя ( но по фтп доступа прям туда у него не должно быть )
/home/usr_name/data/ - а вот тут уже собственно корневая директрия ФТП
/home/usr_name/data/www/ - а вот тут уже собственно директории сайтов пользователей
/home/usr_name/data/www/site1.ru/
/home/usr_name/data/www/tite2.ru/
Вобшем смысл я думаю понятен)
PHP_Master
Хранитель порядка
- Регистрация
- 3 Фев 2008
- Сообщения
- 2.639
- Реакции
- 601
safe_mode и open_basedir обходятся, к тому же этих параметров в PHP6 уже не будет.
eshkin
Мой дом здесь!
- Регистрация
- 13 Апр 2006
- Сообщения
- 596
- Реакции
- 274
поясните пожалуста? тоесть предпочтительно ставить апач как cgi? а про "вытворять всё что угодно при установленном как cgi" я не понял фразы.
если в двух словах получится объяснить что чем чревато, буду благодарен.-)
M
MiXeR
Прохожие
- Автор темы
- #20
блин.
в общем понятно, что сделать полноценно защищенную системо нереально без холивора....
в общем понятно, что сделать полноценно защищенную системо нереально без холивора....
- Статус