Есть проблема: клиенты сервера (хостинг) могут просматривать файлы ОС (например /etc/passwd) с помощью cgi скриптов. С PHP проблема решается просто — open_basedir.
Сейчас эта проблема решается с помощью AppArmor, но он к сожалению поддерживается в Ubuntu, которую использовать не очень хочется по определенным причинам или же OpenSUSE, которая не годится для продакшн.
Есть ли какие-то иные решения?
PS
предпологаю что это можно сделать с SElinux, но к сожалению нет глубокого опыта в этой технологии и времени для изучения…
PPS
игнорировать эту проблему в нашей ситуации нельзя, так что фразы «а что в этом страшного» можно не писать:)
каких именно CGI скриптов? для каждого ЯП есть решения. Например, у Perl есть suexec, можно с ним поиграться.
Вообще же — советую вам посмотреть на то, как организована политика безопасности в ispmanager. Там всё в общем то на очень хитрых chmod/chown построено. Вообще же — в целом вы желаете невозможного, если я всё правильно понял.
Ваш выход — только чрутить CGI механизмы (Python, perl, etc) и не давать пользователям запускать интерпретаторы вне chroot.
My<cod/>.net
