Securiser apache contre backdoor php ?

Bonjour,

Connaissez-vous les backdoor PHP ? Elle permet lorsque qu'elle est sur un serveur de pouvoir faire a peut prés tout se que l'on veut sur une machine (naviguer dans le disque dur du serveur, ...).

Je souhaiterai donc empêcher la navigation dans les dossiers autres que celui créer avec les virtualhost !

Je m'explique, on va dire que je suis un hébergeur web. Donc, on a le client avec sa base de données, FTP, et serveur HTTP, on créer un virtualhost pour le rediriger vers sont dossier dans apache. Mais par exemple il envoie sur le serveur une backdoor PHP qui va lui permette de naviguer hors de sont dossier d'origine et donc voir tous les autres siteweb, log du serveur, config, etc.

Je vous demande donc comment empêcher sa ?

Il y a la directive PHP open_basedir pour empêcher cela : toute opération sur un fichier ou répertoire qui ne correspond pas à ceux déclarés par cette directive sera refusée. PHP propose aussi le safe_mode mais est bien plus (trop) restrictif suivant les cas et ne sera pas conservée dans la version 6.