поскольку разработчики Debian считают safe_mode (который не войдет в PHP6) и open_basedir изначально нарушенными мерами безопасности, мне интересно, можно ли их заменить на mod_suexec в сочетании с mod_fcgid. Как вы думаете, это действительно так?
С уважением, Бенджамин.
Я бы посоветовал, учитывая соответствующие права доступа к файлам в файловой системе, используя suexec с PHP было бы приемлемо заменить safe_mode. Это просто потому, что вы позволяете файловой системе предотвращать доступ к файлам вместо того, чтобы позволить PHP делать это за вас, что считается сломанным и поэтому удалено с PHP 5.4.
open_basedir действительно есть некоторые проблемы, которые делают его сломанным, например тот факт, что существует плохое состояние гонки, связанное с заменой символической ссылки, и поэтому его, вероятно, не следует использовать. Я не знаю, что он удаляется из PHP, и я предполагаю, что когда-нибудь они попытаются это исправить. Я бы не стал на это полагаться. suexec Однако не решит эту проблему. Например, если вы хотите запретить PHP-скрипту доступ к /etc/passwd, нет ничего, что suexec будет делать, чтобы предотвратить это, поскольку это всегда доступный для чтения файл. open_basedir Возможно, это предотвратило бы это, если бы не это надоедливое состояние гонки. Я не думаю suexec решает эту часть, и я не уверен, что могло бы решить эту проблему, кроме использования chroot каким-то образом.