(Oui, je sais que les questions se rapportant à lighttpd mieux répartis sur le SF, mais je pensais qu'il était plus susceptible d'être posée ici car il est principalement à la politique de sécurité.)Sécurisation d'une configuration lighttpd partagée
Nous sommes Je prévois de mettre en place un petit serveur Web dans mon collège, afin que les gens puissent avoir de l'espace sur le Web pour mettre en place des pages Web et autres. Ils pourraient également télécharger des pages PHP. L'ensemble de l'installation s'exécute dans une prison chroot.
Nous envisageons d'utiliser la même infrastructure pour mettre en place d'autres services, par exemple un forum de discussion. Mon problème est, mettre le forum dans le même document racine (ou même, le même environnement chrooté) permet à peu près tout utilisateur de placer de petits scripts PHP dans leurs répertoires qui peuvent accéder aux fichiers de configuration du forum (par exemple file_get_contents
) . C'est un risque de sécurité énorme! Existe-t-il un moyen de résoudre ce problème, à moins de désactiver PHP pour les comptes d'utilisateur, et de le garder activé pour le forum de discussion et autres, ou de servir le forum ailleurs et de le proxy en utilisant lighttpd? Je doute que la définition des propriétés/permissions puisse résoudre ce problème, puisque, de mon point de vue, le processus PHP FastCGI est engendré par le serveur web, et par conséquent, toute page accessible par le serveur (ils tout doit être, vu comment c'est le serveur qui doit finalement les servir) peut être consulté par les scripts PHP téléchargés par un utilisateur.
Toute aide serait appréciée!
Cela devrait être sur serverfault. – rook