Limitare con OpenBasedir

[xAnder]

Ciao ;-)

Mi stavo chiedendo se è sufficiente impostare la open_basedir di php nella configurazione di apache, per impedire ai file php di andarsene in giro per le directory superiori alla "htdocs" directory

Es. di codice che ho inserito all'interno del VirtualHost

Codice:

<Directory /home/siti/sitoN/htdocs>
        php_admin_flag engine on
        php_admin_value open_basedir "/var/www/sitoN/htdocs"
</Directory>

Grazie in anticipo per la disponibilità

[Antonio]

Ciao ;-)

Mi stavo chiedendo se è sufficiente impostare la open_basedir di php nella configurazione di apache, per impedire ai file php di andarsene in giro per le directory superiori alla "htdocs" directory

Es. di codice che ho inserito all'interno del VirtualHost

Codice:

<Directory /home/siti/sitoN/htdocs>
        php_admin_flag engine on
        php_admin_value open_basedir "/var/www/sitoN/htdocs"
</Directory>

Grazie in anticipo per la disponibilità

Puoi impedirgli di effettuare direttamente con fopen/fwrite modifiche a files non presenti nel path specificato da open_basedir, ma se utilizzi shellexec, system et similia puoi eseguire comandi che possono benissimo andare a leggere file che non sono nella path di open_basedir.

Riassumendo: open_basedir non ti crea una jail per php.

[xAnder]

Beh, è sicuramente meglio impostarlo.. che lasciarlo vuoto. Non credi?

[Antonio]

Beh, è sicuramente meglio impostarlo.. che lasciarlo vuoto. Non credi?

Logico, ma non ritenerti al sicuro insomma

[xAnder]

Beh è solo una precauzione, sono una specie di hosting multidominio dove ti lasciano la possibilità di gestire il virtualhost di apache.
Penso di poter fare solo questo per limitare l'accesso alle cartelle superiori.

[Uno]

Dal php.ini (se ne hai l'accesso) puoi disabilitare alcune classi e funzioni, per esempio shellexec a meno che non ti serva esplicitamente.

Lo stesso non ti rende sicuro al 100% ma puoi eliminare qualche altro punto debole