tankistua
Gold Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору BuenoDia а запускать через cgi php-ешные скрипты это не извращение ? Скрипты выполняются от имени апача, потому что вызывает их апач. Для perl сделали suexec. А идеология рнр не позволяет применить подобный механизм к php. Насколько я понял - это невозможно , либо связка suphp+php-cgi. Я согласен что это извращение, но это еще не самый основной довод: потеря производительности. Вот чего можно ждать от такой связки , плюс ко всему увеличение нагрузки. Поэтому это не выход. Вопросом безопасности веб-сервера занимаюсь уже около месяца, правда времени не хватает и основная работа отвлекает , так что наработки не особо, но кое-что есть: нужно смириться с мыслью, что запускать скрипты от имени пользователя без потерь в скорости невозможно (это утверждение конечно под вопросом) Основную угрозу веб-серверу составляют как правило распространенные форумы и другие движки. С самописными скриптами никто ковырятся не будет , разве что только под "заказ на взлом". Получается, что для защиты нужно ограничить выполнение комманд рнр-скриптами за пределами заранее указанной дирректории. Вот пару линков : http://php4you.kiev.ua/docs/mod_php.htm http://www.php.net/manual/ru/security.php Думаю от этого уже можно отталкиваться. З.Ы. если что-то придумаешь - пиши ПМ или в мыло, я в свою очередь если доведу свои мысли до логического финала тож напишу, может статься получится |