Guten Tag,

Warum PHP nicht als Modul?

Weil ich die verschiedenen Projekte, die jeweils ein VHost sind, gerne voneinander trenne: Jedes Projekt hat eigene Folder für Sessiondateien, Uploads, Logs, etc. Jedes Projekt wird als eigener User behandelt.
Zusätzlich ist PHP als Modul (bzw. einige der Extensions) nicht threadsicher, was ich für meinen Worker-MPM-Apache aber benötige. Abschließend ist der Betrieb als FastCGI auch noch deutlich performanter als der Betrieb als CGI oder Modul.

PHP-Safe Mode "natürlich" "off"?

Ja. Denn der Safe_Mode ist kein Sicherheitsfeature, da er sich leicht umgehen lässt. Suexec kann das deutlich besser.

Und warum suexec.

Hauptsächlich zur Nutzertrennung. Ansonsten siehe Manual.

Wenn man damit was falsch macht, ist ja schlimmer als vorher, oder?

Geht es schlimmer als gar keine Nutzertrennung? suexec bewahrt dich vor den größten Problemen (Skripte unter root laufen lassen). Dafür ist die Konfiguration etwas umfangreicher.

Und open_base_dir kommt doch auch irgendwie ins Spiel, nicht wahr?

Ja. Aber da open_basedir genauso wenig wie der safe_mode hunderprozentig funktioniert, verlasse ich mich doch eher auf sorgfältig vergebene Rechte.

Gruß
Christoph Jeschke