En un servidor web apache con múltiples VirtualHosts que ejecutan diferentes sitios web de PHP en diferentes dominios, ¿qué tan importante es establecer open_basedir para cada VirtualHost?
¿Realmente ayudará a aislar los diferentes VHosts entre sí o es posible eludir la restricción?
¿Qué tan grande es una falla de seguridad para no establecer open_basedir en las circunstancias descritas?
Agrega una protección adicional en caso de una vulnerabilidad de cruce de directorios. Por ejemplo, considere un archivo PHP que se ve así:
readfile($_GET['thumbnail_path']);
Sin open_basedir , esta página podría usarse para leer cualquier archivo en el sistema de archivos. La configuración de open_basedir evita esto, por lo que solo se pueden leer los archivos en algún directorio específico.
Sin embargo, open_basedir no protege contra alguien que puede ejecutar código (PHP) en el servidor. Por ejemplo, simplemente ejecutando system('cat /etc/passwd') omitirá la configuración de basedir. Además, no todas las funciones que manejan archivos comprueban la ruta en la configuración open_basedir . / p>
open_basedir básicamente limita las operaciones a un espacio de usuario, un directorio en el sistema de archivos, es decir, su directorio de inicio. Puede configurarlo en varios directorios si es necesario.
la configuración de open_basedir impide el acceso / modificación de una ubicación fuera del espacio especificado, ya sea intencional o accidental.
Si existe una vulnerabilidad en un script PHP o scripts PHP maliciosos en el espacio de usuario, limita el acceso del script malicioso al directorio / directorios. Haciéndoles difícil para ellos extraer archivos como contraseñas, archivos ocultos o cualquier otra área sensible.