Le 23/12/2012 23:07, Simon Morvan a écrit :
Le 21/12/2012 18:42, Wallace a écrit :
Le 21/12/2012 18:39, jean-y...@lenhof.eu.org a écrit :
mpm-itk ?
http://mpm-itk.sesse.net/
Oui bonne solution c'est un peu mieux que suPHP et suexec pour les cgi.
Pourquoi/sur quel plan c'est un peu mieux ?
C'est les process apache qui sont directement exécutés sous l'uid/gid
voulu (et donc tous les modules apache et ce qui est exécuté en CGI
également) donc possibilité de chmod o-rwx les docroot de chaque
utilisateur pour avoir une véritable sécurisation/cloisonnement.
Il est possible, si l'on utilise mod_vhs pour avoir des vhosts en base
MySQL de spécifier l'uid et gid de chaque vhost dans la base.
ps: plus besoins de suexec avec itk, à savoir également qu'itk est basé
sur prefork donc il y aura un overhead par rapport à du mpm worker ou
event avec tous les process exécutés par un même utilisateur en fonction
de la taille de la prod mais les bénéfices niveau sécurité en valent
bien la peine.
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
