étant donné qu'il y un seul php.ini pour tous les sites hébergés, la seule solution que je vois serais d'ajouter dans chaque vhost apache ou nginx, une directive de ce style :

je suis dans le vrai?

Bonjour

>Je sais qu'il vaut mieux (dans l'absolu) sortir le dossier /images

Ah non pas du tout !

Tout qui doit être accessible depuis une URL *doit* être dans /www. Sinon comment ferait ton site lorsqu'il recevra une requête http tonsite/images/logo.png ?

>et voire même les dossiers /cache et/ou /tmp,

Oui, mieux car ces dossiers n'ont pas pour vocation d'être accessible par URL ... sauf que parfois, certains composants font quand même des requêtes URL vers /tonsite/cache/xxxx

Mais oui oui oui pour /tmp qui peut être mis ailleurs et si et seulement si les scripts utilisés acceptent que /tmp soient ailleurs (càd certains scripts mal conçus "pensent" que tmp est dans JRoot().'/tmp' ce qui est une erreur de conception). Si tu déplaces; peut-être vas-tu casser ces composants-là.

> /media du répertoire www qui contient le site mais cela ne semble pas simple.

Comme /images : il faut les laisser dans /www.

>Et pour la variable open_basedir , mieux vaut-il la laisser vide ou y spécifier un chemin?

Tu confonds je pense... open_basedir est une clause qui dit "si jamais un script PHP sur mon site tente d'accéder à un dossier ../../../../blablabla càd un dossier se trouvant au-dessus de /www paf!, je lui interdis.

Tu aurais alors open_basedir=/mon_user/www (p.ex.) càd le fullpath de ton dossier /www qui serait spécifié.

.... et cela ne fonctionnera que pour les hébergeurs qui supportent open_basedir ce qui n'est pas le cas de tous.

Donc, voilà, open_basedir, c'est un chouette concept mais pas toujours simple à mettre en oeuvre.

Hello,

Merci pour ta réponse, tu as raison j'ai mélangé quelques concepts.

Ok pour les répertoire, j'ai bien noté.
Pour /images j'avais vu ça je sais plus ou et j'avoue que j'en étais pas certain.
Maintenant oui en effet cela parait plus logique qu'il soit sous /www
Pour /tpm ok la pas de surprises.

Pour open_base dir si l'hébergeur le supporte ou que l'on fait de l'auto-hébergement sur un serveur dédié ou autre peu importe, dans la mesure ou il y a X sites sur le serveur, on ne peut pas généraliser cette variable pour tous les sites non?
Puisque chaque site étant isolé, la modif du vhost s'impose non?

Question bonus : que penses-tu en terme de sécurité, d'isoler chaque site via du docker au lieu d'utiliser un user unix sous /home/... ? est-ce pertinent, ou gain négligeable ?

Merci

Ma compétence sysadmin Unix est, euh ?, les jours ne sont pas assez longs pour faire tout ce que j'ai envie d'apprendre et ma foi, sysadmin est un truc que je laisse bien volontier aux autres ;-)

ok noté je vais essayer de creuser ;-)

Bonjour,
Trouvé sur Google : http://mon-serveur.anael.eu/doku.php...n_open_basedir

Cordialement,

Merci -