изолируйте каждый vhost
jail в бздях
что-то там ещё в солярках
что-то своё в других системах
и тд
минимум каждому клиенту - свой VPS
так вы защититесь от разгилдяев-девелоперов софта и приложений
в схеме "задумка заказчика - браузер клиента" очень много составляющих, на всех не угодишь
делать защиту от всех дураков на одном сервере весьма накладно, очень голова болит и безуспешно

так решите вопрос другим путём

в итоге - "дырка" в затребованном заказчиком апаче/IIS/что угодно+php/perl/.net(прости господи)/что угодно или дыра в коде сайта == проблема и ответственность заказчика - владельца VPS

если у вас много клиентов или сайтов или чего угодно, проще потратить бабоса на профессиональную систему управления VPS-ами/хостингом ну или что вы там задумали
ну или сделать свою на базе какой нить фриварной

On 15.12.2010, at 22:37, Gena Makhomed wrote:

> On 15.12.2010 2:37, Maxim Dounin wrote:
>
>>>> Проблемы же PHP нужно фиксить в рамках PHP.
>
>>> но почему же разработчики httpd так не думают?
>>> на каталог /var/log/httpd права root:root 0700
>
>> Не надо на разработчиков Apache возводить напраслину, им своих
>> проблем хватает. Логи по умолчанию живут в
>> /usr/local/(apache|apache2)/logs, каталог создаётся с umask 022.
>
> да, не сами лично разработчики Apache,
> а майнтейнеры пакета httpd в Fedora/RHEL/CentOS
> там права доступа root:root 0700 /var/log/httpd
>
> причина почему они так делают очевидна, чтобы защититься
> от эскалации "PHP Local File Include Vulnerability"
> до уровня "Remote Code Execution Vulnerability"
>
>> А почему параноики ставят минимальные права, с которыми вообще
>> способна работать программа, на всё, до чего дотянутся - для меня
>> загадка. Видимо, потому что параноики.
>
> это называется "Principle of least privilege".
>
> например, ничем и никем не ограниченный root
> в классических UNIX системах привел к большому
> количеству проблем с security, так что пришлось
> потом изобретать системы Mandatory access control
> и Role-based access control, в частности, SELinux.
>
>> Как именно и куда именно пойдёт вся их "безопасность"
> > из-за того что администратор в результате будет вынужден
> > практически всегда быть рутом - видимо отдельный,
> > не рассматриваемый вопрос.
>
> для административных задач необходимо иметь права root`а.
>
> для того, чтобы анализировать логи - достаточно быть членом
> специальной группы www-logs, и тогда будут доступны на чтение
> логи nginx, если на /var/log/nginx права доступа nginx:www-logs 0550
>
> в этом случае все решается легко и просто,
> даже в рамках Traditional Unix permissions
>
> --
> Best regards,
> Gena
>
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru@nginx.org
> http://nginx.org/mailman/listinfo/nginx-ru

_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://nginx.org/mailman/listinfo/nginx-ru