Hello,

Wie richtet man denn so etwas richtig ein? Wenn alle Anwendungen (meines Wissens) nur unter dem Useraccount des Apachen laufen können, sehe ich keine Möglichkeit der Absicherung (außer dem Safe Mode, der ab PHP 5.4 nicht mehr existiert).

Das ist eine Sache der PHP-Installation.

Mittels passender Einstellungen für open_basedir und der von dir schon angesprochenen Verzeichnisse für Sessions, (Logs,) Uploads, htdocs und data sollte es passen. Ich habe das bisher jedenfalls immer dicht bekommen.

Hmm, open_basedir schlägt aber vom Prinzip her in etwa die gleiche Kerbe wie der Safe Mode.

Nicht wirklich.
Open_Basedir regelt nur den Dateizugriff auf Files und Directories mittels PHP-interner Filefunktionen.

Darüberhinaus gibt es dann eben noch die Möchlichkeit, die Betriebssystemfunktionen bzw. eigentlich ja nur deren Dienstprogramme direkt aufzurufen mittels Exec() & Brüdern. Das muss man natürlich dann auch im Auge behalten oder ganz unterbinden. Wenn amn ein Jail einrichten kann, können diese Funktionen nur auf Daten zugreifen, die den User etwas angehen, sonst muss man sie mittels Verbot in
http://de3.php.net/manual/en/ini.core.php#ini.disable-functions und
http://de3.php.net/manual/en/ini.core.php#ini.disable-classes

separat ausschalten.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg