direitos do sistema de arquivos no ambiente de hospedagem compartilhada

Metade da solução é fazer o chroot dos usuários da cadeia em seus respectivos DocumentRoots quando eles fazem o login para transferir arquivos.

Isso pode ser feito facilmente com o SSH (SFTP / SCP) usando a diretiva ChrootDirectory .

Editar:

Como a prática acima mencionada foi estranhamente rejeitada, eu também posso fornecer a outra metade.

Geralmente, a única maneira de impedir que os módulos de script do Apache acessem arquivos no FS que eles não deveriam, é executá-los através do suEXEC como CGI. O que é muito horrível na minha opinião. Em seguida, você precisará garantir separadamente que os arquivos de cada usuário sejam restritos apenas aos seus próprios UID / GID, por exemplo. %código%. Como alternativa, existem alguns módulos de terceiros que farão isso em uma caixa para você, como suPHP .

A prática mais comum é que cada usuário no ambiente de hospedagem compartilhada tenha seu próprio UID (nome de usuário) & GID (grupo) separado daquele daquele em que o servidor da web Apache é executado. Você pode usar o suexec para manter as CGIs em execução com as mesmas permissões que o usuário e não como o usuário / grupo do servidor da web. O PHP já fará isso por você executando como usuário e não permitindo que o código acesse algo para o qual ele não tem permissões.

O problema estará em preceder os membros de serem capazes de ler arquivos. Como as permissões precisam estar abertas o suficiente para que o servidor Apace possa lê-las para poder atendê-las. Eu recomendaria se cada usuário tivesse seu próprio UID / GID, em seguida, 0664 para arquivos e 0775 para diretórios. Isso só dá acesso de leitura a 'outros'.

As cadeias do FreeBSD são uma opção.