Ограничение сферы деятельности РНР интерпритатора
Здравствуйте, друзья!
Вот это уже не один форум, где я обращаюсь с этим вопросом, но никак не могу решить свою проблему. Сейчас попытаюсь объяснить в чкм суть.
Я держу Web сервер в локальной сети, ОС - Windows 2000 Server. Платформа Apache 2.0.55, РНР 5.0.5, MySQL 5.
Там я держу фото-сервер сети свой сайт, а также даю хостинги друзьям.
В будующем я хочу развивать как хост сервер, локальный правда, а может и в интернете.
Дело в безопасности.
Раз клиен может работать с РНР, то он спокойно может прочитать/копировать/удалить все, что у меня на компе. Я сделал так, создал пользователя ограничел ему доступ и от его имени запускаю Апач. Особого успеха это не дало. Да, клиенты не смогут прочитать те каталоги, которые не относятся к Web-серверу. Для этого все необходимые файлы и каталоги пришлось разрешит только для чтения, но тут можно уже залезть куда угодно, скачать и посмотреть php.ini & .conf.
Кто-нибудь имеет опыт в этом деле? Желательно устроить так чтобы php интерпритатор запускался от имени пользователя, отличного от того, под которым запускается апач.
Например у меня есть моя директория, где лежит мой сайт - d:/home/mysite/ пускай при запуске скриптов от туда пхп работал с полными правами.
Еще директория с пользователями d:/home/host/user1/ тут пусть пхп будет "заперт" в user1. Аналогично с user2, user3...
Я слышал, что это делается как-то с помощью suphp, но как без понятия, вот поэтому и прошу у вас помощи.
|