Salut à tous,

Je suis entrain de reconfigurer mon serveur de A à Z car j'ai eu des petits problème de piratage. Les attaques venaient de site hébergé avec des failles et je me suis retrouver avec des fichier PHP uploadé qui permettait de faire plein de truc pas trés cool !!!!

Je cherche donc a sécurisé un max mon serveur (contrairement à avant) et je suis sur la conf d'apache. Je suis sous Debian avec Apache2, PHP5 et MySQL5. L'arborescence est la suivante :

/var/www/domaine1.dtl/www/
/var/www/domaine2.dtl/www/
/var/www/domaine3.dtl/www/
Précédemment tout était sous l'user www-data:www-data ce qui m'a posé quelque petit problème de sécurité. J'ai donc pas mal parcouru le forum et j'ai trouvé deux solutions pour sécurisé tout ça :

1) Utiliser php en module tel que je l'ai aujourd'hui et limiter l'accès via le fichier de conf d'apache. Exemple :
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
<Directory /var/www/domaine1.dtl>
    php_admin_value upload_tmp_dir "/var/www/domaine1.dtl/tmp"
    php_admin_value session.save_path "/var/www/domaine1.dtl/sessions"
    php_admin_value open_basedir "/var/www/domaine1.dtl/"
</Directory>
2) Utiliser suPHP ou suExec+fastCGI. Cette solution permet de créer des user différents pour chaque site (mais appartenant tous au group www-data) et du coup personne ne peut accéder ailleurs que sur son site du fait des droits. Il faut passer php en CGI.


Mes questions maintenant :
1) La première solution semble être la plus simple à mettre en place. Par contre qu'en est-il exactement de la sécurité ? Un ls permet de remonter ou de lister les sites des voisins ? En supposant que l'on arrive à connaitre le site du voisin, peut-on faire quelque chose ?

2) La deuxième solution semble être la plus sécure. Peut-on y inclure la directive open_basedir pour faire croire que le répertoire /var/www/domaine1.dtl/ est le répertoire racine ? Quand est il des fichier htaccess avec apache en CGI (notamment pour l'URL Rewriting et les limitations d'accès avec login/pass) ?

3) J'ai lu que passé en CGI ralentissait l'affichage des page plutôt que l'utilisation de PHP en module. Quel est exactement ce ralentissage. J'héberge de tout petit site perso et 2 sites avec un peu plus de trafic (400 visites jour sur l'un et 5000 visites jour sur l'autre). Si le ralentissement n'est pas significatif sur ces sites, cella vaut le coup de passer en CGI.

4) J'ai lu également qu'il ne fallait plus utiliser le safe_mode (je ne l'utilisait pas avant, mais je pensais l'activer maintenant) et plutot suPHP ou suExec. Est exact ?

5) Enfin dernière question, j'ai lu que suPHP était une version de suExec adapté au PHP mais j'ai également lu que suExec + fastCGI était plus rapide. Que faut-il mieux mettre en place ?

Merci d'avance pour vos futures réponses