Re: N'importe que utilisateur peut faire tourner l'interpréteur PHP ?

[Sébastien NOBILI <s-liste-debian-user-french@pipoprods.org>]

Bonjour,

Le 2024-10-02 17:26, Bernard Bass a écrit :
> J'ai voulu "protéger" un fichier.php en le donnant à mon utilisateur 
> sudoer, que j'utilise pour administrer la machine.
> Sans élévation de droit, il s'agit d'un simple utilisateur lambda.

Quelle est la finalité de tout ça ?

Ce qui se pratique habituellement c'est de créer un vhost par site/appli 
avec la racine
("DocumentRoot" pour Apache, "root" pour Nginx) correctement 
positionnée.

Le serveur Web se chargera de n'exposer que ce qui se trouve dans le 
dossier racine.

Si on veut être un peu plus robuste, on peut créer un PHP FPM dédié par 
site/appli.

Si on veut être encore plus robuste, on peut créer un conteneur (Docker, 
LXC, autre)
par site/appli.

On peut aussi créer un serveur par site/appli, mais là ça devient 
vraiment lourd pour
pas grand-chose.

Si un script est dangereux et ne devrait pas être exploitable à 
distance, alors il faut
le sortir de la racine ou ajouter une directive spécifique pour que le 
serveur Web refuse
de servir les requêtes qui arrivent dessus.

Sébastien