Le 21 déc. 2012 à 22:00, Patrick Proniewski a écrit :

On 21 déc. 2012, at 21:19, Mercier, Benjamin wrote:

...

Hello,

...

...

...

mpm-itk ? http://mpm-itk.sesse.net/

Oui bonne solution c'est un peu mieux que suPHP et suexec pour les cgi.

Merci pour ces réponses rapides. Malheureusement le problème est un peu complexe : de nombreux sites partagent le même vhost. J'ai 40 vhosts pour plus de 250 sites web. Il faudrait que je change de nombreuses choses pour avoir un vhost par site. Néanmoins, c'est une piste et je peux l'explorer, voire la mettre en prod, avant d'avoir un vhost par site. Ça limiterait déjà les dégâts. Je vais regarder ça de plus près. D'après ce que je vois le port FreeBSD correspondant intègre un patch qui permet de gérer un user par path et non seulement un user par vhost. Ça pourrait bien le faire.

MPM-ITK sait gérer par Directory aussi :)

super alors, je t'avoue que je n'ai pas encore lu toute la doc ;)

J'ai écrit un petit mémoire à ce sujet, il y a quelques temps. Il est loin d'être complet, mais je pense que tu devrais y trouver ton bonheur ;)

https://x-cli.eu/secfiles/lamp.pdf

A+

Florian Maury

Le 23 déc. 2012 à 20:21, Guillaume Pancak a écrit :

avez vous parlé de php-fpm ?

Nope :) Comme je l'ai dit, très loin d'être complet. Pour autant, j'ai entendu du bien de php-fpm, mais je ne l'ai pas mis en place personnellement.

Dans le papier linké, j'évoque SuExec avec FCGI, mpm-itk, et un reverse proxy avec une instance d'apache par client/application.

J'évoque aussi de nombreuses options de sécurité de PHP, et d'Apache, ainsi que quelques petits trucs systèmes autour. Ce n'est pas suffisant pour sécuriser un système, mais ça y contribue ;)