Le 23/12/2012 23:07, Simon Morvan a écrit :
Le 21/12/2012 18:42, Wallace a écrit :
Le 21/12/2012 18:39, jean-yves@lenhof.eu.org a écrit :
mpm-itk ? http://mpm-itk.sesse.net/
Oui bonne solution c'est un peu mieux que suPHP et suexec pour les cgi.
Pourquoi/sur quel plan c'est un peu mieux ?
C'est les process apache qui sont directement exécutés sous l'uid/gid voulu (et donc tous les modules apache et ce qui est exécuté en CGI également) donc possibilité de chmod o-rwx les docroot de chaque utilisateur pour avoir une véritable sécurisation/cloisonnement.
Il est possible, si l'on utilise mod_vhs pour avoir des vhosts en base MySQL de spécifier l'uid et gid de chaque vhost dans la base.
ps: plus besoins de suexec avec itk, à savoir également qu'itk est basé sur prefork donc il y aura un overhead par rapport à du mpm worker ou event avec tous les process exécutés par un même utilisateur en fonction de la taille de la prod mais les bénéfices niveau sécurité en valent bien la peine.