Projet

Général

Profil

Actions

Demande #3145

ouvert

Faut-il renforcer l'isolation des applications PHP sur la VM lamp ?

Ajouté par Christian P. Momon il y a plus de 6 ans. Mis à jour il y a plus de 2 ans.

Statut:
Nouveau
Priorité:
Normale
Assigné à:
Catégorie:
-
Version cible:
Début:
10/05/2018
Echéance:
% réalisé:

0%

Temps estimé:

Description

Actuellement, sur la VM lamp, il n'y a pas de restriction d'accès entre application PHP installée.
C'est à dire que le code PHP d'une application peut accéder aux fichiers d'une autre application, et même de tout le système.
Exemple : https://date.chapril.org/test.php (qui accède à un fichier dans paste.chapril.org).

D'expérience, il est d'usage d'utiliser la directive open_basedir pour augmenter la sécurité : http://php.net/manual/fr/ini.core.php#ini.open-basedir

De son côté, Didier remonte que la procédure d'installation de paste.chapril.org cite PHP-FPM : https://php-fpm.org/

Pour information : https://paste.chapril.org/phpinfo.php

Question : quel niveau d'isolation voulons-nous ?
1) par défaut : on a confiance dans le code et ce n'est pas grave ;
2) open_basedir : c'est le minimum chez les professionnels ;
3) php-fpm : le maximum est le mieux.

Je suis d'avis d'appliquer open_basedir.

Votre avis ?

Actions

Formats disponibles : Atom PDF