Le Mon, Jul 28, 2014 at 10:47:11AM +0200, Alexandre Legrix [[email protected]] a écrit: [...] > Le fait de maintenir des scripts php opensource a jour que tu ne > déploies pas toi même a toujours été le gros soucis de notre métier. > > L'adminsys doit s'assurer que le serveur ne peut pas se faire trouer. > > (je prends wordpress en exemple, mais vous pouvez remplacer ca par > n'importe quel projet opensource, ca peut être phpmyadmin, qui a la > palme d'or du trouage)
Meme pas besoin de restreindre a "projet opensource". J'ai vu aussi plein de trucs mal foutus se faire compromettre aussi. Même si c'est plutot moins courant que de voir passer des bots/rootkits qui ciblent des failles repandues dans Joomla/Wordpres/etc. [...] > Ca s'appelle chroot() + php-fpm + nginx. Le script php ne sera executé > qu'avec les droits de l'utilisateur spécifique de ce vhost, et ne pourra > pas sortir de sa prison. Apache, mpm-itk, open_basedir ;-) Limiter les accès "réseau" en sortie, ça peut permettre de restreindre les effets (par exemple un bot de DDOS ne pourra pas faire de degat). Passer les mails sortant de PHP via mail() dans un wrapper, qui permette de tracer d'où un mail sortant est envoyé, pour identifier l'origine d'un spamotron, aussi -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 21 rue Frédéric Petit - 80000 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
