Sicherheitsfeature: Option openbase_dir auf DOMAINZIEL Verzeichnis einschränken

[jmkey]

Hallo,
ich würde diesen Feature - Wunsch gerne nochmals zur Diskussion anregen.

Featurewunsch (für mehr Sicherheit):

Möglichkeit openbase_dir pro Domain/Subdomain zusätzlich einzuschränken.
z.B. durch folgende Funktion:

[ ] Checkbox (openbase_dir auf Domainziel-DocumentRoot einschränken)

Beispiel:

Code: Select all

Wenn Checkbox inaktiv : openbase_dir = ##DOCROOT##/www/:##DOCROOT##/files:##DOCROOT##/tmp:/dev/urandom
Wenn Checkbox Aktiv : openbase_dir = ##DOCROOT##/www/##DOMAINZIEL##:##DOCROOT##/tmp:/dev/urandom

[Alexander]

PHP-Einstellungen werden aktuell pro Benutzer verwaltet, nicht per Domain und Subdomain. Sie gelten also für alle Domains und Subdomains unter einem Benutzer.

Eine Änderung dessen würde für alle Shared-Systeme den Ressourcenverbrauch je nach Szenario extrem nach oben treiben.

Beispiel:
Ein Benutzer hat 10 Domains + 20 Subdomains.
Seine PHP-Ressourcen werden über den Benutzer verwaltet. Hier ist z.B. festgelegt: "pm.max_children = 3". Es dürfen also gleichzeitig 3 PHP-Prozesse laufen.

Wenn das System nun umgestellt werden sollte auf "PHP-Ressourcen werden pro Domain verwaltet", dann verbraucht dieser eine Benutzer nach einem solchen Update plötzlich soviel wie 30 Benutzer (und führt zu ggf. gleichzeitigen 90 PHP Prozessen, nur durch diesen einen Nutzer).

---

In so einem Fall würde ich eher vorschlagen einen weiteren Benutzer anzulegen, um Webprojekte sauberer von einander zu trennen.

---

Ab nächsten Update ist es übrigens möglich, die Einstellung open_basedir überschreibbar zu setzen. Dann kann es z.B. von der Anwendung selbst oder durch .user.ini gesetzt werden. Vll hilft das ja auch noch dem ein oder anderen.

[jmkey]

Hallo,

vielen Dank für die Rückmeldung und Erklärung.

Eine Idee hätte ich da noch, damit die derzeitige Struktur beibehalten werden kann.

Und zwar über die SECTIONS in der php.ini des USER:

INFO: https://www.php.net/manual/en/ini.sections.php

[PATH=/www/##DOMAINZIEL##] oder [HOST=##DOMAINNAME]
openbase_dir = ##DOCROOT##/www/##DOMAINZIEL##:##DOCROOT##/tmp:/dev/urandom

[Alexander]

Ah prima - Danke!

Hab mal ein paar Tests gemacht und das würde funktionieren.
Das könnte ich bei Gelegenheit also einbauen, sofern hier größerer Bedarf besteht.


Für mein künftiges ich bzw. wer es bereits einbauen möchte:

Erstellen von: /etc/php/<PHP-VERSION>/fpm/conf.d/99-keyhelp.ini

Code: Select all

[PATH=/home/users/alex/www/domain1/]
open_basedir = "/home/users/alex/www/domain1:/home/users/alex/tmp"

Achtung, sollte es ins KeyHelp implementiert werden, wird die tatsächliche Implementation (Dateinamen etc.) abweichend sein.
Das hier ist nur ein Test.

[Blackmoon]

Das könnte ich bei Gelegenheit also einbauen, sofern hier größerer Bedarf besteht.

Bedarf.

[ShortSnow]

+1

[jmkey]

+1
++ Mega ++