On 2003.07.28 at 09:16:05 +0300, Vladimir N. Velichko wrote: > ... > > Заметь, что mysql-ная база данных обязана быть из этого chroot доступна, > > ведь с ней тоже www-сервер работает. > А чем chroot помешает доступу через сокеты?
Если это unix-domain socket то путь в файловой системе до него из chroot и не из chroot будет разный. > > Так что следует в первую очередь читать документацию по php, на предмет > > обеспечения безопасности оного, оторвать от mysql желание слушать по > > tcp-ip, пусть общаяется только через unix-domain сокет, > Виктор, если всё ходит локально через unix-domain сокет, > то от чего будет спасать firewall? Есть еще DNS, NTP и куча других протоколов, которые на сервере необходимы, но их не нужно открывать для всего мира. И вообще, я всегда предпочитаю иметь две линии обороны, защищая все сервисы которые таки должны работать по TCP/IP и hosts.allow/hosts.deny и файрволлом.