ganers пишет:А можно все тоже самое только вкратце и подытоженное? А то я недопонимаю как все таки должно работать и, что мне необходимо сделать!?
За ранее благодарен!
Если рассматривать ваш вопрос кратко то можно сделать следующие выводы - для того чтобы обеспечить достаточную безопасности web-сайтов находящихся к группе каталогов принадлежащих одному системному пользователю - необходимо произвести достаточное разделение этих каталогов с точки зрения управляющего ими пользователя Для начала вы можете создать набор FTP-пользователей с указанием отдельного каталога в качестве корневой директории и блокировки перехода на верхний уровень - тем не менее пока что клиент имеет возможность обращаться к родительским ресурсам путем использования CGI-скрипта Интерфейс CGI в чистом виде не предоставляет каких-либо разграничений доступа для выполняющихся программ - поэтому по умолчанию все CGI-скрипты на ваших виртуальных хостах будут иметь достаточные права для чтения и модификации определенных файлов - а есмли установить для этих файлов более низкие права доступа то будет невозможно прочитать их даже из оригинального виртуального хоста
В общем виде задача ваша решается благодаря разграничению системных пользователей для каждой независимой директории - и использования смежных групп пользователя и модуля suexec - это дает возможность установить минимальные права на все ресурсы и при этом CGI-скрипту будет запускаться от имени вашего пользователя и поэтому будут иметь возможность доступа к нужным файлам - а доступ к другим виртуальным хостам будет ограниченин В то же время сервер Apache будет иметь все привелегии для чтения содержимого web-ресурсов - а все исполняющиеся действенные перенаправления как дочерние процессы будут иметь уже низкий уровень доступа
ИТОГ Тем не менее более просто огранизовать другой вариант - он заключается в том что вы запрещаете редактирования директив Apache в дочерних каталогах по пути наследования параметров - и в то же время запрещаете собственную конфигурацию alias-ов и действенных перенаправлний и отключаете CGI-скрипты - таким образом пользователи смогут использовать только установленный вами PHP-интерпретатор без подмены файла конфигурации - а это позволяет явно указать значения директивы open_basedir для блокировки перехода в родительскому каталогу