ApacheHTTPD mod_suexec, safe_mode, open_basedir

Question

ApacheHTTPD mod_suexec, safe_mode, open_basedir

Так как разработчики Debian рассматривают safe_mode (который не войдет в PHP6) и open_basedir по своей сути нарушают меры безопасности, я задаюсь вопросом, можно ли считать их заменяемыми mod_suexec в сочетании с mod_fcgid. Как вы думаете, это действительно?

С наилучшими пожеланиями, Бенджамин.

1

php mod-fcgid suexec open-basedir safe-mode

Источник

benjamin 23 мар '11 в 07:00

1 ответ

Решение

Другие вопросы по тегам php mod-fcgid suexec open-basedir safe-mode

Emmaly Wilson 25 май '12 в 06:54 2012-05-25 06:54 · Accepted Answer · 2012-05-25 06:54

Я хотел бы предложить, что при наличии соответствующих разрешений файлов в файловой системе, используя suexec с PHP было бы приемлемо заменить safe_mode, Это просто потому, что вы позволяете файловой системе запретить доступ к файлу, а не позволяете PHP делать это за вас, что считается поврежденным и поэтому удалено с PHP 5.4.

open_basedir действительно есть некоторые проблемы, которые делают его неисправным, например, тот факт, что существует некачественное состояние гонки, связанное с заменой символической ссылки, и поэтому его, вероятно, не следует использовать Я не знаю, что это было удалено из PHP, и я предположил бы, что они когда-нибудь попытаются это исправить. Я бы на это не рассчитывал. suexec не решит эту проблему, хотя Например, если вы хотите запретить PHP-скрипту доступ /etc/passwdнет ничего такого suexec сделает, чтобы предотвратить это, так как это всегда общедоступный файл. open_basedir возможно предотвратило бы это, если бы не было этого надоедливого состояния гонки. Я не думаю suexec решает эту часть, и я не уверен, что бы решить эту проблему, кроме использования chroot в некотором роде.