Tach!
Ich bin mir nicht sicher, ob man diese Einrichtung nachhaltig "dicht" bekommt, auch wenn Du auf CGI wechslen würdest. Die anderen User haben ja immer noch die Exec-Funktion, die sich in der von ihr eröffneten Shell nicht die Bohne um die open_basedir-Restriktionen kümmert. Die können auf diese Weise alle Dateien auslesen, die dem php-prozess-Eigentümer zugänglich sind. Passwortdateien und Daten müsstest Du dann also immer so ablegen, dass nur Dein CGI-PHP-User Zugriff hat.
Seitens PHP (als (F)CGI mit suEXEC) bekommst du die Konfiguration so dicht, wie es in dem Multiusersystem Unix/Linux gehen kann. Der Schwachpunkt sind die Dateien, die der Apache lesen muss - der bleibt shared [*]. Alles was unter PHP läuft und nur von PHP aus zugreifbar sein muss, kann durch die eigene Kennung und die Berechtigungsvergabe gesichert werden (Multiuserprinzip von Unix/Linux).
Fragt sich, welche Gruppe automatisch eingerichtet wird, wenn Du mittels PHP-CGI oder mittels FTP ein Verzeichnis oder eine Datei anlegst.
psacln heißt die bei Plesk. Da sind alle Webserver-Nutzer drin. Und die ist auch bei suEXEC angegeben.
Ich würde mich freuen, wenn auch Dedlfix nicht so absolut von sich überzeugt wäre, sondern auch mal seine eigene These anzugreifen versuchte,
Meine Thesen basieren auf der Erfahrung mit Plesk-Systemen.
Damit Deine Sessions überhaupt erstmal funktionieren, müss der session.save_path so eingestellt werden, dass Du ihn mit php auch beschreiben darfst. Das kannst Du hoffentlich in einer .htaccess-Datei tun
Erstmal in der Plesk-Konfiguration nachschauen, ob das da erlaubt wurde. In aktuellen Plesk-Versionen gibt es eine Menge dieser grundlegenden PHP-Konfigurationsmöglichkeiten. Und die bleiben dann auch erhalten (bzw. werden entsprechend umgeschrieben), wenn man zwischen Modul und CGI wechselt oder Plesk anderweitig angewiesen wird, an der Konfiguration was zu ändern. CGI verwendet ja eine eigene php.ini und die Modulversion lässt sich über .htaccess konfigurieren.
Du kannst den aber jetzt nur in ein Unterverzeihnis deiner htdocs verlegen. Dort musst Du dann dafür sorgen, dass dieses Verzeichnis nicht per HTTP auslesbar ist, also z.B. mit Hilfe einer .htaccess-Datei, die ein DENY enthält.
Das Userverzeichnis bei Plesk ist /var/www/vhosts/eingerichteter_name/. Das gehört root/root mit drwxr-xr-x, es lässt sich als User also darein nicht direkt schreiben. DocumentRoot ist im Unterverzeichnis httpdocs. Mit dem File Manager im Control Panel kann man sich nun einen geeigneten Platz suchen, der dem Nutzer gehört, in den man auch schreiben darf, der aber keine Zugriffe von anderen Gruppen außer root zulässt. Mindestens das Verzeichnis private sollte diese Bedingung erfüllen.
[*] Ich kenne jedenfalls keine Möglichkeit, dass der Apache sich nach Usern aufteilen ließe. Beim IIS geht das über Application Pools, in denen die Requests zusammen mit einem dedizierten User eingesperrt werden können.
dedlfix.