Использую FreeBSD 11, nginx 1.11.10, apache 2.4 + suexec, mod_fastcgi (через него работает пхп), mysql 5.6. Небольшой скромный хостинг для десятка сайтов. Каждый сайт "запущен" от своего пользователя.
Обнаружил, если пользователь выполнит PHP код следующего содержания:
Код: Выделить всё
<?php
readfile("/etc/passwd");
?>
Хочу заметить, что один из популярных хостеров тоже имеет такую же проблему. Сам лично проверил, и вообще не запаривается с отключением функций php (disable_functions). У меня часть функций отключена. Два вопроса:
1. Безопасно ли оставить все как есть? Если нет прошу рекомендаций.
2. Если очень известный хостер имеет схожую проблему, возможно не стоит об этом беспокоиться? Там думаю не студенты работают.
Если нужна будет дополнительная информация - предоставлю, в общих чертах описал картину.