mirror of
https://github.com/php/doc-it.git
synced 2026-03-24 07:32:12 +01:00
38346d0e93
git-svn-id: https://svn.php.net/repository/phpdoc/it/trunk@351268 c90b9560-bf6c-de11-be94-00142212c4b1
71 lines
3.2 KiB
XML
71 lines
3.2 KiB
XML
<?xml version="1.0" encoding="utf-8"?>
|
|
<!-- $Revision$ -->
|
|
<!-- EN-Revision: ab6785b01ce1006e3a9761988575289f40c9b678 Maintainer: anonymous-#100582 Status: ready -->
|
|
<!-- Reviewed: yes Maintainer: pastore -->
|
|
|
|
<!-- splitted from ./index.xml, last change in rev 1.66 -->
|
|
<chapter xml:id="security.apache" xmlns="http://docbook.org/ns/docbook">
|
|
<title>Installato come modulo Apache</title>
|
|
<simpara>
|
|
Quando <acronym>PHP</acronym> viene utilizzato come modulo Apache, esso eredita i permessi dell'utente
|
|
Apache (tipicamente quelli dell'utente "nobody"). Questo ha diversi
|
|
impatti sulla sicurezza e l'autorizzazione. Per esempio, se si sta usando
|
|
<acronym>PHP</acronym> per accedere ad un database, a meno che il database non abbia un sistema interno di controllo
|
|
degli accessi, dovrai rendere il database accessibile
|
|
dall'utente "nobody". Questo significa che uno script malevolo potrebbe accedere e modificare
|
|
il database, anche senza username e password. É del tutto
|
|
possibile che uno spider web possa atterrare sulla pagina web
|
|
dell'amministratore del database, ed eliminare tutti i tuoi database. Puoi
|
|
proteggerti da questo tramite le autorizzazioni di Apache, o puoi progettare
|
|
il tuo modello di accessi attraverso LDAP, i file &htaccess;, ecc. ed includere
|
|
quel codice come parte dei tuoi script <acronym>PHP</acronym>.
|
|
</simpara>
|
|
<simpara>
|
|
Spesso, una volta che la sicurezza viene stabilita verso il punto dove l'utente <acronym>PHP</acronym>
|
|
(in questo caso, l'utente apache) ha pochissimi rischi collegati ad esso,
|
|
si scopre che a <acronym>PHP</acronym> viene ora impedito di scrivere su qualsiasi file,
|
|
nelle directory degli utenti. O forse è stato impedito l'accesso
|
|
o la modifica dei database. É stato equamente messo in sicurezza dalla scrittura
|
|
di file buoni e cattivi, o dall'ingresso di transazioni buone e cattive al database.
|
|
</simpara>
|
|
<simpara>
|
|
Un errore frequente di sicurezza fatto a questo punto è di fornire i permessi di root
|
|
ad apache, o di aumentare le abilità di apache in qualche altro
|
|
modo.
|
|
</simpara>
|
|
<simpara>
|
|
Fornire i permessi di root all'utente Apache è estremamente
|
|
pericoloso e può compromettere l'intero sistema, quindi metodi come sudo,
|
|
chroot, o l'esecuzione come root non dovrebbero essere presi in considerazione da
|
|
coloro che non sono dei professionisti della sicurezza.
|
|
</simpara>
|
|
<simpara>
|
|
Ci sono alcune soluzioni più semplici. Utilizzando
|
|
<link linkend="ini.open-basedir">open_basedir</link> puoi controllare e limitare quali
|
|
directory posso essere utilizzate per <acronym>PHP</acronym>. Puoi inoltre impostare
|
|
delle aree solo per apache, limitando tutte le attività web ai file non di utenti,
|
|
oppure non di sistema.
|
|
</simpara>
|
|
</chapter>
|
|
|
|
<!-- Keep this comment at the end of the file
|
|
Local variables:
|
|
mode: sgml
|
|
sgml-omittag:t
|
|
sgml-shorttag:t
|
|
sgml-minimize-attributes:nil
|
|
sgml-always-quote-attributes:t
|
|
sgml-indent-step:1
|
|
sgml-indent-data:t
|
|
indent-tabs-mode:nil
|
|
sgml-parent-document:nil
|
|
sgml-default-dtd-file:"~/.phpdoc/manual.ced"
|
|
sgml-exposed-tags:nil
|
|
sgml-local-catalogs:nil
|
|
sgml-local-ecat-files:nil
|
|
End:
|
|
vim600: syn=xml fen fdm=syntax fdl=2 si
|
|
vim: et tw=78 syn=sgml
|
|
vi: ts=1 sw=1
|
|
-->
|