OVH Community, votre nouvel espace communautaire.

Cloisonnement des comptes apache/php


hawatools
12/10/2014, 19h34
Bonjour,

J'essaye de faire une configuration sécurisé d'apache pour cloisonnement des comptes apache/php sur un serveur qui va héberger plusieurs sites de plusieurs client différent. Un client X ne doit en aucun cas pouvoir allez voir les fichiers du voisin. Pour les fichiers système, apache est chrooté.

J'utilise Centos 7, apache 2.4, PHP FPM

Je créer donc un user par vhost et un pool fpm par vhost. Les dossier sont en 750 et les fichiers en 640.

Apache tourne en apache:apache, fpm tourne en userX:apache, si j'essaye de faire tourner php fpm en userX:userX ca fonctionne pas "erreur" AH01071: Got error 'Primary script unknown\n'

J'appel php fpm de cette methode ProxyPassMatch ^/(.*\.php(/.*)?)$ fcgi://127.0.0.1:9501/var/www/vhosts/test.com/httpdocs/$1

Problème, fpm qui tourne avec le groupe apache a accès a tous les fichiers (logique 640 accès groupe en Read), je me suis dit c'est pas grave je vais mettre les fichiers en 600 comme cela le groupe ne pourra plus les lires, problème les fichiers static html, image... lu par apache ne fonctionne plus, logique il sont en userX.

Je suis perdu...

Des idées ?

Merci d'avance