¿Qué tan importante es el uso de open_basedir en un servidor con múltiples sitios web PHP diferentes?

2

En un servidor web apache con múltiples VirtualHosts que ejecutan diferentes sitios web de PHP en diferentes dominios, ¿qué tan importante es establecer open_basedir para cada VirtualHost?

¿Realmente ayudará a aislar los diferentes VHosts entre sí o es posible eludir la restricción?

¿Qué tan grande es una falla de seguridad para no establecer open_basedir en las circunstancias descritas?

    
pregunta user40974 10.01.2017 - 18:14
fuente

2 respuestas

2

Agrega una protección adicional en caso de una vulnerabilidad de cruce de directorios. Por ejemplo, considere un archivo PHP que se ve así:

readfile($_GET['thumbnail_path']);

Sin open_basedir , esta página podría usarse para leer cualquier archivo en el sistema de archivos. La configuración de open_basedir evita esto, por lo que solo se pueden leer los archivos en algún directorio específico.

Sin embargo, open_basedir no protege contra alguien que puede ejecutar código (PHP) en el servidor. Por ejemplo, simplemente ejecutando system('cat /etc/passwd') omitirá la configuración de basedir. Además, no todas las funciones que manejan archivos comprueban la ruta en la configuración open_basedir . / p>     

respondido por el Sjoerd 11.05.2017 - 13:54
fuente
0

open_basedir básicamente limita las operaciones a un espacio de usuario, un directorio en el sistema de archivos, es decir, su directorio de inicio. Puede configurarlo en varios directorios si es necesario.

la configuración de open_basedir impide el acceso / modificación de una ubicación fuera del espacio especificado, ya sea intencional o accidental.

Si existe una vulnerabilidad en un script PHP o scripts PHP maliciosos en el espacio de usuario, limita el acceso del script malicioso al directorio / directorios. Haciéndoles difícil para ellos extraer archivos como contraseñas, archivos ocultos o cualquier otra área sensible.

    
respondido por el Lester T. 11.01.2017 - 09:43
fuente

Lea otras preguntas en las etiquetas