Действительно ли безопасно добавить/usr/bin к open_basedir?
Вы могли использовать VMware Player также, но VirtualBox более гибок, и это плюс для разработки. Если необходимо выполнить некоторый сервер для веб-хостинга или выполняющий некоторый SQL-сервер или другой бэкенд затем, VMware Server мог быть более оптимальным вариантом. Или ESXI, если Вы получили правильные аппаратные средства.
Нет, добавлять / usr / bin в open_basedir небезопасно. . Как только злоумышленник сможет выполнить произвольный PHP-код, он сможет выполнить любую команду в /usr/bin.
. Чтобы ограничить область поверхности атаки, вы можете создать каталог bin в open_basedir и сделать ссылку для преобразования в нем. Убедитесь, что он не находится в корневом каталоге вашего Интернета.
Очевидно, что мы не знаем подробностей взлома, но для того, чтобы воспользоваться чем-то, что можно было предотвратить, правильно установив open_basedir, в вашей системе есть другая уязвимость. Но это не относится к делу.
Есть много способов решить эту проблему - разрешить PHP-скрипту ограниченный доступ к соответствующим двоичным файлам / настроить разрешения, чтобы вы могли разрешить доступ к каталогу, не раскрывая множество других вещей (но если ваш imagemagick не связан статически, вам также необходимо открыть библиотеки). Проблема в том, что они полагаются на византийские модели разрешений, которые, вероятно, будут затоптаны обновлениями дистрибутива.
Если бы это был я, я бы запустил преобразование в полностью независимой группе процессов. То, как вы это сделаете, зависит от того, нужно ли вашему PHP-скрипту знать, успешно ли завершилось задание или нет. Если это не нужно знать, то асинхронная очередь сообщений (rabbitMQ, SMTP, связанный с рецептом procmail или просто некоторые записи в базе данных) будет обрабатывать задания с управляемой емкостью. Если требуется подтверждение, запустите демон разветвления для выполнения преобразования.