Gianluca Gentile ha scritto: > Salve, > scusate l'off-topic. > Ho la necessità di impedire a tutti gli script PHP di un determinato > virtual host di "uscire" dalla DocumentRoot impostata e quindi non > consentire loro di leggere file presenti in altre directory del file > system. > storicamente la direttiva open_basedir dovrebbe essere quella indicata per questa esigenza, ma non sembra essere apprezzata globalmente come "modello di sicurezza"
ad ogni modo puoi impostarla a livello di VirtualHost in questo modo magari da usare in combinazione con php_value include_path <VirtualHost www.example.com:80> ... php_admin_value open_basedir "mio_path:altro_path" ... </VirtualHost> sempre che il tuo PHP non "giri" come cgi... che rende impossibile l'uso dei comandi php_admin_value. O non utilizzi il modulo vhost_alias, in questo caso risulta quasi impossibile passare le variabili necessarie a definire il path dinamicamente per cercare di incrementare la sicurezza esistono software di terze parti, uno di questi è suphp che fa in modo di eseguire tutti gli script php con l'UID dell'utente anziché apache, suphp in combinazione con un modello di permessi ad hoc semplifica la vita in caso di hosting condiviso ed è una situazione di sicurezza accettabile, ovvero, dal mio punto di vista è un buon compromesso vedi anche: file:///usr/share/doc/php5-common/README.Debian.security Alessandro -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
