Test d'hébergement web

[ButterflyOfFire]

Bonjour,

 

J'ai réinstallé le serveur sous différentes distro que ce soit avec Plesk ou OVH Release histoire de vérifier les variantes de configs liées à Apache et PHP mais j'ai remarqué que Plesk était plutôt bien configuré et un shell php ne bypass à la volée le safe_mode et donc l'utilisateur ne peux pas remonter toute l'arborescence.

 

Bref, j'ai pensé à un truc : mettre un fichier php.ini par vHost Apache ou tout simplement rajouter une valeur safe_mode on dans chaque vHost correspondant à un no mde domaine histoire d'éviter de lister tout le serveur.

 

Vous en pensez quoi ?

 

A vrai dire, je trouve que le safe_mode est vraiment limite limite quoi, il faut un vrai système de chroot et jail pour le PHP.

 

En m'ayant documenté à fond cette dernière semaine, j'ai testé suExec et suPHP, j'ai installé le patch Suhosin (merci à SlownDZ) mais ça n'a pas vraiment donné les résultats escomptés.

 

Autre chose, PHP dois-je l'installer en CGI ou en tant que module pour Apache (lequel est préconisé pour un hébergement mutualisé) ?

 

Voilà, je ne veux pas me résoudre à opter pour l'achat d'une licence Plesk. Je voudrai vraiment que ça tourne au script-configoooration mano et à webmin si possible

 

Au passage petite astuce sur Webmin concerant la configuration du serveur DNS Bind :

Si vous voulez avoir la date de vos zones au format date : AAAAMMJJxx cliquez sur Serveur Bind DNS puis configuration du module puis Seria.l number style et là vous choisissez Date Based au lieu de running number qui est une numérotation 32 bits selon la RFC. ça vous permettera de mieux comprendre la date de votre zone et l'incrémentation à chaque mise à jour de la zone.

 

Pour ceux qui ont des conseils, je suis preneur et merci d'avance

[Slown]

Sous PHP il existe un module UserDir qui fait correspondre chaque utilisateur à son compte. Ce qui te permettra d'éviter de changer ta configuration apache pour chaque nouvel utilisateur, par exemple le répertoire : /home/slown/public_html sera directement accessible en tapant : http://serverweb.com/~slown. Si l'utilisateur n'existe pas on tombe sur une page d'erreur.

 

Pour activer le module PHP Userdir :

a2enmod userdir

 

Il faudra ensuite éditer le fichier /etc/apache2/mods-available/userdir.conf

qui est par défaut :

 

       UserDir public_html
       UserDir disabled root


               AllowOverride FileInfo AuthConfig Limit
               Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec

 

Pour ne pas créer un utilisateur à chaque fois, on remplace UserDir public_html par UserDir /home/*/public_html du coup on est plus obligés de créer un utilisateur système mais juste créer le dossier de l'utilisateur dans le /home.

 

On ajouter la ligne qui crée un jail PHP pour chaque utilisateur :

php_admin_value open_basedir ".."

Les ".." servent à emprisonner le répertoire parent, dans notre cas c'est : /home/slown

 

Pour les scripts shell rien de plus simple suffit de modifier le même fichier et d'ajouter à la fin :

php_admin_value safe_mode "1"

 

Concernant l'installation de PHP c'est vrai que coté sécurité l'utilisation du CGI est préférable mais y'a une vrai répercussion sur la vitesse. Je te conseille d'installer le php en tant que module car certains extensions de php ne passent pas en CGI surtout les accélérateurs PHP.

Modifié le 14 septembre 2009 par Slown