> Il faudrait que je fasse tourner apache sous un groupe bien d�termin� et que
> je fasse appartenir les r�pertoires utilisateur (tout du moins ceux qui
> contiennent les pages web) a ce groupe. Donc un utilisateur X pourrait cr�er
> un script qui va cr�er un fichier, ou en effacer un, sur l'espace web de
> l'utilisateur Y puisque le script tournerait avec le m�me "groupe".
>
> (Ou alors j'ai encore rien pig� :-)))) )
>
> Ce qui est donc pour moi un "trou" de s�curit�. C'est pourquoi je cherche
> une solution via le CGI et le SUEXEC.
Tu devrais regarder les options de php qui permettent de faire cela
avant de passer par le suexec qui va surcharger le serveur.
Perso, j'ai ca d�clar� dans un vhost :
php_admin_flag safe_mode On
php_admin_value safe_mode_include_dir /www/plop.mondomaine.org
php_admin_value safe_mode_exec_dir /www/plop.mondomaine.org
php_admin_value open_basedir /www/plop.mondomaine.org
php_admin_value doc_root /www/plop.mondomaine.org
php_admin_value user_dir /www/plop.mondomaine.org
php_admin_flag log_errors on
php_admin_value upload_tmp_dir /www/plop.mondomaine.org/tmp/
php_admin_value session.save_path /www/plop.mondomaine.org/tmp/
Ceci permet de compartimenter l'utilisateur php dans son vhost.
et cette option lui permet toujours d'utiliser des options genre
.htacces dans son vhost (ce que je crois n'est pas possible en cgi - a
confirmer ou infirmer -)
ca marche presque bien (encore quelques pbs avec include de uid
differents...)
Hope this help
Sylvestre
