F
feiz
Eroberer
Hallo.
Ist folgendes möglich:
Apache Hauptprozess als www-data laufen lassen, ohne chroot.
Alle Vhosts jedoch unter einer eigenen UID/GID laufen lassen.
z.B. UID kunde123 / GID kunden
Und wenn möglich, die vhosts sogar auf ein chroot beschränken, so dass selbst Profis mit böswilligen Scripts es nicht so leicht haben, auf andere Kundenverzeichnisse und Systemverzeichnisse wie /etc zuzugreifen.
Es gibt zwar open_basedir, aber der Sache traue ich nicht so ganz.
Außerdem ist das eine php Konfiguration, die nicht auf den Apache selbst wirkt, und somit auch nicht auf CGI Perl Scripts.
Ist folgendes möglich:
Apache Hauptprozess als www-data laufen lassen, ohne chroot.
Alle Vhosts jedoch unter einer eigenen UID/GID laufen lassen.
z.B. UID kunde123 / GID kunden
Und wenn möglich, die vhosts sogar auf ein chroot beschränken, so dass selbst Profis mit böswilligen Scripts es nicht so leicht haben, auf andere Kundenverzeichnisse und Systemverzeichnisse wie /etc zuzugreifen.
Es gibt zwar open_basedir, aber der Sache traue ich nicht so ganz.
Außerdem ist das eine php Konfiguration, die nicht auf den Apache selbst wirkt, und somit auch nicht auf CGI Perl Scripts.
