Forum Debian Users Gang

Bezpiecznie?  Serwer WWW nie powinien w ogóle być właścicielem ani mieć prawa zapisu w skryptach sklepu.
Kłopot jest wtedy z folderami tymczasowymi, logów czy obrazkami, jakie zapisuje CMS napisany w PHP, ale przynajmniej ktoś Ci do niego backdoora c99 nie dorzuci zbyt łatwo.

Trudniejsza sprawa jest z najnowszymi skryptami CMS używającymi Composera do instalacji Modułów jak Prestashop 1.7 i Magento 2.2, bo one już przypominają bardziej systemy operacyjne aniżeli skrypty CMS, i potem te wszystkie moduły muszą ciągle coś zapisywać  w rożnych częściach CMSa.

Posadzenie bezpiecznie Magento-2.2 w trybie oddzielnego właściciela plików aniżeli serwer WWW czy demon PHP, to już spore wyzwanie, i często ani myśli działać w takiej konfiguracji.
Prestashop 1.7 dzielnie podąża w tym samym kierunku.

Pozdro

To zobacz w dokumentacji Presty, wersja 1.7 to jest wersja developerska, 50 razy trudniejsza od Prestashopa 1.6, ale dalej łatwiejsza od Magento -2.2.

W każdym razie, jak na VPSie dla testu ściągnąłem z Githuba Preste 1.7,
i doinstalowałem koniecznych modułów Composera, to folder Presty miał 400 MB pojemności, czyli mniej więcej tyle co 6 instalacji systemu Puppy Linux, albo instalka Androida.

Pozdro

Jeżeli strona działa, a serwer www i demon php nie mogą zapisywać skryptów PHP, JS i layoutów w folderze Presty, to może trudniej się instaluje rozszerzenia, ale też nie da się w prosty sposób wpakować backdoora do sklepu, albo dokleić jakiegoś syfu do sktyptów sklepu, co kończy się eleganckim czerwonym ostrzeżeniem w przeglądarce Chrome.

Jeżeli ten stan osiągniesz, to pierwsza ważna linia obrony będzie załatwiona.

A jeszcze jedno pytanie: czy jest sens robić chroot dla katalogu strony? Wiele o tym czytałem, ale większość sensownych artykułów pochodzi sprzed kilku, kilkunastu lat i argumenty w nich zawarte mogą być nieaktualne.

Na tę chwilę udało mi się skonfigurować Apache tak, że Presta działa bez problemu (choć w trybie debugowania wywala trochę błędów z powodu braku praw do zapisywania w niektórych katalogach cache podczas pacy w backoffice). Właścicielem katalogu /var/www/strona jest użytkownik systemu, grupą tego katalogu jest www-data. Wszystkie katalogi i podkatalogi presty mają chmod 750 a pliki 640. Nie wiem tylko czemu nadal mogę instalować moduły przez panel presty... nie mogę przez panel zmienić np. loga bo wyrzuca brak uprawnień do zapisu, ale stworzyć katalog z nowym modułem presta może.

A możesz wytłumaczyć (pytam z ciekawości) dlaczego chroot nigdy bezpieczny nie był?

Do Apparmor już sobie czytam manuala, bardzo ciekawe narzędzie. Kontenerowanie zaś to chyba zbyt wiele jak na moje potrzeby. :)