Поднимаю сервак, задача: запретить пользователю, под которым работает php, подниматься выше его домашней диры, при этом open_basedir должен быть отключён... Подскажите варианты... Спасибо!
Сервер создаётся под хостинг нескольких проектов на 1С-битрикс. Для того, чтобы проект соответствовал "стандартам битрикса" необходимы определённые параметры хостинга, на котором размещён сайт и один из пунктов, это отключённый open_basedir (как говорят разработчики битрикса, откючение open_basedir повышает производительность) Поэтому ищу альтернативу.
Да это бред какой-то, пили open_basedir, экономить на ресурсах за счет безопасности это пи3дец решение крутое. Да и я сомневаюсь что open_basedir жрет что-то. Это банальная проверка где ты находишься.
b3, я согласен, по моим замерам open_basedir не уменьшает производительность, но я ищу другой выход. Вот выдержка из статьи пердставителя битрикса: http://habrahabr.ru/company/bitrix/blog/126914/ В последнем абзаце есть намёки на решение задачи: 1) запуск персональных копий веб-сервера (например, тот же Apache) для разных пользователей. 2) использование FastCGI через php-fpm. но при обоих вариантах я не понимаю, что будет запрещать пользователю выходить из домашней диры, при выключенном open_basedir ? Возможно есть какие-то хитрости в настройках ?
Ковырялся вчера с chroot, правильно ли я понял, что всё что запускается в песочнице, должно быть там и установлено? Поставил в chroot ось, сервер, php и т.д. При отключённом open_basedir не могу подняться до файлов основной оси, но по чрутовой могу свободно перемещаться. Вроде и выход, а вроде и не то, что хотел получить, поищу ещё варианты. За ссылки по теме буду благодарен. Спасибо!
чрут хорош тем что туда можно закинуть минимальный набор программ, допустим и все, и даже если не будет бейсдира, пользователь будет шариться по пустой ФС не причиняя вреда другим. Но у чрута есть и свои минусы, допустим MySql в чруте не будет работать, на рдоте есть статья о безопасном сервере, там описаны кое какие моменты.
Видел эту статью, по ней и настраивал MySQL, и такой вариант меня вполне устраивает. Сейчас попробую разобраться как в чрут закинуть только то, что нужно, а не разворачивать свою ось под каждый сайт на сервере.
