Differences

This shows you the differences between two versions of the page.

--- doc:appunti:linux:sa:apache_php_optimization [2025/02/28 12:35] – [Modulo MPM (quale?), proxy_fcgi e php-fpm] niccolo
+++ doc:appunti:linux:sa:apache_php_optimization [2025/03/31 10:42] (current) – [Metodo chroot] niccolo
@@ Line 165: / Line 165: @@
   </IfModule>
 </file>
+===== Segregazione VirtualHost =====
+Su un host che ospita più di un VirtualHost potrebbe essere desiderabile isolare il PHP di un VirtualHost dai file degli altri VirtualHost ed anche dai file dell'intero sistema. Dal punto di vista della sicurezza ad esempio non è bene che da PHP sia possibile fare l'''fopen()'' di file tipo **/etc/passwd** oppure del file **wp-config.php** del Wordpress installato su un altro VirtualHost.
+Essenzialmente si può agire con un **chroot** per processo PHP oppure con la direttiva **open_basedir** del PHP.
+Il primo metodo è quello formalmente più corretto e sicuro, in quanto il processo PHP sarebbe effettivamente in esecuzione in un ambiente chroot e sarebbe il sistema operativo stesso a impedirgli di accedere fuori dalla propria DocumentRoot. Tuttavia questo metodo comporta **notevoli problemi** perché ad esempio impedisce l'**accesso alle librerie** PHP o JavaScript installate a livello di sistema.
+Il metodo che utilizza la direttiva **open_basedir** invece è più flessibile, ma affida la sicurezza all'assenza di bug nell'implementazione del linguaggio PHP.
+==== Metodo chroot ====
+Supponiamo che la DocumentRoot di un sito sia **/var/www/html/site.example.org/www/**, queste sono le direttive da aggiungere al file di configurazione **/etc/php/7.4/fpm/pool.d/pool.d.include/site.example.org.conf**:
+<file>
+[site.example.org]
+user = site-example-org
+group = site-example-org
+; This PHP-FPM instance is chrooted.
+chroot = /var/www/html/site.example.org
+chdir = /www
+; Values set here with php_admin_value belong to this pool only.
+; doc_root: (without chroot would be empty or the Apache DocumentRoot).
+php_admin_value[doc_root] = /www
+; cgi.fix_pathinfo: this is mandatory to let the chroot works.
+; See https://www.php.net/manual/en/ini.core.php#ini.cgi.fix-pathinfo
+php_admin_value[cgi.fix_pathinfo] = 0
+</file>
+In questo modo si ha un processo **php-fpm** che gira con le credenziali di //user// e //group// indicate e che è chrooted nella directory indicata.
+Purtroppo questa soluzione impedisce il corretto funzionamento delle librerie PHP, ad esempio il pacchetto **php-mail** installa i propri file in **/usr/share/php/** ed è impossibile eseguire il comando ''require_once "Mail.php";''.
+Vedere la discussione **[[https://serverfault.com/questions/733230/apache-file-not-found-after-setting-up-php-fpm-chroot|Apache: "File Not Found" after setting up php-fpm chroot]]**.
+==== Metodo open_basedir ====
+Con la direttiva PHP **open_basedir** si pone un limite a tutte le funzioni PHP che aprono file dal filesystem (ad esempio ''include'' o ''fopen()''). Il manuale PHP tuttavia avverte: //**Caution** open_basedir is just an extra safety net, that is in no way comprehensive, and can therefore not be relied upon when security is needed//.
+Ecco quindi come configurare l'istanza PHP-FPM di un VirtualHost nel file **/etc/php/7.4/fpm/pool.d/site.example.org.conf**:
+<file>
+[site.example.org]
+user = site-example-org
+group = site-example-org
+php_admin_value[open_basedir] = /var/www/html/site.example.org:/usr/share/phpmyadmin:/usr/share/doc/phpmyadmin:/etc/phpmyadmin:/var/lib/phpmyadmin:/usr/share/php:/usr/share/javascript:/tmp
+</file>
+Come si vede è necessario avere l'accortezza di includere tutte le directory delle estensioni installate a livello di sistema. Nell'esempio sopra è compreso il pacchetto **phpMyAdmin**, le varie **librerie PHP** e **JavaScript**. Anche la directory **/tmp** potrebbe essere utilizzata per la creazione di file temporanei, ecc.
 ===== Web Resources =====