Joho,

ich habe ein Problem (mal wieder) ;), und zwar habe ich hier einen

Apache Webserver mit Virtual Hosts für verschiedene Kunden. Da einige

der Kunden PHP Unterstützung benötigen, gibt es da ein

Sicherheitsproblem. Und zwar können die Kunden über SSH Zugang nicht auf

andere Webpräsenzen zugreifen, was ja durchaus einen Sinn hat. Bei PHP

jedoch kommt man an alles dran. Der Verursacher ist hier der Apache

Webserver, weil dieser in einer Gruppe ist, in der die Kundenlogins

nicht sind, der apache jedoch die Berechtigung hat, auf das

jeweilige Verzeichnis des Virtual Hosts zuzugreifen. Da der Apache immer

mit der gleichen Group läuft, können die jeweiligen PHP Scripts

natürlich auf alle Verzeichnisse zugreifen, welche Kunden gehören. Nun

die Frage, gibt es die Möglichkeit, den Apache nach VirtualHosts

spezielle Usernamen zuzuteilen? Ab der Version 2.0 soll das soweit mit

dem Modul MPM möglich sein, jedoch nicht für den

1.3.x. Ein Update auf eine 2.x Beta ist nicht möglich, da dies ebend

eine Beta Version ist. Eine Beschränkung der PHP Funktionen sind

ebenfalls nicht möglich. Deshalb die Frage, ob es da eine Möglichkeit, ähnlich

wie bei der version 2.0 gibt.

Es gibt zwei Moeglichkeiten:

• open_basedir (http://download.php.net/manual/en/configuration.php)
• suExec (http://httpd.apache.org/docs-2.0/suexec.html)

Bei open_basedir wird einfach nur verhindert, dass das PHP-Script auf Dateien
und/oder Verzeichnisse unterhalb des festgelegten Dirs zugreifen kann. Per
php_admin_value kannst du pro VirtualHost den Wert festlegen.

Bei suExec werden die Scripte unter einem festgelegten User ausgefuehrt.

Gruss,
 CK