PHPfrance

la communauté d'entraide francophone dédiée au PHP

Sécurité pour un hébergement mutualisé

Répondre


Cette question est un moyen d’empêcher des soumissions automatisées de formulaires par des robots.
Smileys
:D :) :( :o :shock: :? 8-) :lol: :x :P :oops: :cry: :evil: :twisted: :roll: :wink: :!: :?: :idea: :arrow: :| :mrgreen: =D> #-o =P~ :^o :non: :priere: 8-|
Voir plus de smileys
  Revue du sujet
 

  Étendre la vue Revue du sujet : Sécurité pour un hébergement mutualisé

par zeus » 23 juil. 2008, 09:14

Modération :
Sékiltoyai, les "up" sont interdits sur PHPFrance.

Si tu n'as pas obtenu de réponse, c'est (au choix) :
- que ta question est mal formulée : reformule-la différemment ;
- que personne ne connaît la réponse ici : faire un "up" ne te donnera pas davantage de résultats ;
- que la réponse demandée exige un travail important que personne ne va faire à ta place ;
- que trop peu de temps s'est écoulé depuis ton précédent message pour qu'un membre ait pu y répondre.

Merci de prendre le temps de lire les règlements.

par Sékiltoyai » 23 juil. 2008, 01:06

Up, aucun autre retour ? :-/

par Hywan » 19 juil. 2008, 20:30

Non, c'est normalement identique.

Seul chose différent, les droits d'exécution. J'avais des problèmes avec des modules complémentaires d'FTP, de SVN, etc. Mais bon … c'était OVH aussi ;-). Normalement, si on utilise les dernières versions de suPHP, il n'y a aucun problème (c'est ce qu'ils disent hein, je n'ai pas vérifié tous les modules).

La seule modification qu'ils ont apporté c'est les droits nécessaires pour lancer un script PHP. Le reste n'a normalement pas été modifié.

par Sékiltoyai » 19 juil. 2008, 20:21

Ok, merci, c'est intéressant.
PHP se comporte différemment via suphp ?

par Hywan » 19 juil. 2008, 20:12

Alors, mes retours sur suPHP sont assez négatifs … Ça m'a quand même bien pourri 2 journées … S'il y a une autre façon de faire que suPHP : fait autrement. Tu as des erreurs qui n'ont pas vraiment de sens et il faut bien connaître pour savoir à quoi il peut bien faire allusion.

Mon expérience avec suPHP a été pour le moins (très) mauvaise, mais je dois avouer que niveau sécurité, ça semble être idéal.

par Sékiltoyai » 19 juil. 2008, 19:54

Sinon t'as regardé du côté de suPHP ?
Tu devrais lire, j'ai mis suphp dans la liste des possibilités. Je veux des retours surtout…

par Hywan » 19 juil. 2008, 17:50

Hey :),

Sinon t'as regardé du côté de suPHP ? Je sais qu'OVH utilise ça sur ses serveurs dédiés. C'est un peu une catastrophe quand on ne connaît pas, mais ça reste très verrouillé. Tu devrais y jeter au moins un œil :).

par Sékiltoyai » 19 juil. 2008, 10:56

Au niveau FTP, la manière la plus souple est de gérer les comptes utilisateurs via une base MySQL et non via les users système (proftpd et pureftpd le permettent par exemple).
Ah c'est intéressant cela. Je vais me renseigner…

Pour l'open_basedir ce n'est pas trop un problème le chemin par utilisateur, vu que l'on peut spécifier un chemin relatif… Je crois que souvent on met "."… Mais par contre je ne sais pas comment cela se passe si le script appelé se trouve dans des dossiers à des niveaux inférieurs par rapport aux fichiers inclus :-/

Disons après que désactiver le safe mode cela voudrait dire qu'il faudrait limite interdire toutes les fonctions qui étaoent modifiées ou interdites par le safe mode, et ça en fait quelques unes. :-/

par @rthur » 19 juil. 2008, 10:20

+1 pour open_basedir au niveau de PHP.

Au niveau FTP, la manière la plus souple est de gérer les comptes utilisateurs via une base MySQL et non via les users système (proftpd et pureftpd le permettent par exemple).

par Ryle » 19 juil. 2008, 08:47

Je ne maîtrise pas bien le sujet, mais apparement, même si le safe mode disparait de php6, l'option open_basedir qui te permet de limiter les dossiers accessibles par php est conservée...

A voir ensuite dans quelle mesure il est possible d'en spécifier un par utilisateur...

par chrislabricole » 19 juil. 2008, 03:10

Le serveur http et le serveur ftp sont deux programmes complètement différents.
Oui oui je sais ^^ tout ça pour dire, est-ce cette restriction ne viendrait pas elle même du système Linux.... voilà :P

Sinon, je connais un gars qui à fermé sont hébergeur gratuit par faute de temps il me semble, si ça t'intéresse je te file en PM sont nouveau site (rien à voir avec de l'hébergement) où tu pourras le contacter...

par Sékiltoyai » 19 juil. 2008, 02:46

Bref, quelqu'un a-t-il un retour d'expérience sur le sujet. Parmi les admins ici, vous utilisez quoi ? Qu'est ce qui est le mieux, CGI, apache module + safemode, suphp, voire même CLI + suexec (soyons fous…) ?
Pour l'instant j'hésite surtout entre suphp et safemode, personne n'a expérimenté en prod ?

par Sékiltoyai » 19 juil. 2008, 02:44

Mais encore un truc qui me questionne qui me vient à l'esprit, quand le client accède à son compte par FTP, si il clique sur ".." pour revenir en arrière, normalement, le serveur FTP doit refuser, sinon il pourrait faire se qu'il voudrait...
Ne crois-tu pas que cette restriction FTP et cette restriction PHP soit liée ? Mois je pense que oui :/
Ca n'a absolument rien à voir :shock:
Le serveur http et le serveur ftp sont deux programmes complètement différents. Le FTP a une configuration spécifique, la plupart du temps basée sur les comptes d'utilisateur. Celui que j'ai configuré loggue un utilisateur en chroot, donc il ne peut pas sortir de son arborescence. Le serveur apache a des fichiers de configuration, et php aussi, la plupart de la configuration de sécurité se fait au niveau du php.ini pour le safemode et toute la conf du apache handler, et conjointement au niveau des droits d'utilisateur, du serveur et du php.ini pour le CGI.

par chrislabricole » 19 juil. 2008, 02:17

Non mais le safemode est la solution la plus utilisée
Heu.... oui, peut-être, mais ça me questionne :?
Comment les hébergeurs vont faire alors avec PHP6 ??

Mais encore un truc qui me questionne qui me vient à l'esprit, quand le client accède à son compte par FTP, si il clique sur ".." pour revenir en arrière, normalement, le serveur FTP doit refuser, sinon il pourrait faire se qu'il voudrait...
Ne crois-tu pas que cette restriction FTP et cette restriction PHP soit liée ? Mois je pense que oui :/

Pas sûr... c'est vrai, ça m'intéresse ce genre de chose :)

par Sékiltoyai » 18 juil. 2008, 23:59

Non mais le safemode est la solution la plus utilisée, mais je me demandais par rapport à suphp qu'est ce qui était le mieux, et s'il n'y avait pas d'autres alternatives…

Sinon, évidemment j'ai un serveur pour tester (sinon je ne vois pas sur quoi j'hébergerais :) ), et puis accesoirement mon mac, mais ce n'est pas une chose qui s'improvise empiriquement. La sécurité doit être préparée…