Форум Apache

Мысль такая.
Сложить все скрипты в лдну папку и проверять их по списку и по хэшам.
Загружаемые от посетителей файлы складывать в другую папку и положить там htaccess с запретом выполнения CGI скриптов.
Это похоже на разумный подход к безопасности?
Как можно улучшить?

>Это похоже на разумный подход к безопасности?
Да.
>Как можно улучшить?
На скрипты выставьте права доступа, запрещающие правку и по cron проверяйте не изменились ли права доступа и хэши.

>На скрипты выставьте права доступа, запрещающие правку и по cron проверяйте не изменились ли права доступа и хэши.

Какие именно права доступа надо поставить и как это сделать?
Как проверять права доступа?

Это сильно зависит от того, под каким пользователем работает Apache и кто владелец файлов. Как правило, лучшим выбором будет 0755 для папок и 0644 для файлов. Выставить права можно по FTP, проверять при помощи функции fileperms().

>Это сильно зависит от того, под каким пользователем работает Apache и кто владелец файлов.

А вы на softtime как делаете?

> Как правило, лучшим выбором будет 0755 для папок и 0644 для файлов. Выставить права можно по FTP, проверять при помощи функции fileperms().

Где можно подробней прочитать о стратегии выставления прав доступа на файлы и папки сайта?

И ещё...
С какой частотой запускать проверку cron ом?

Зависить от пользователя, под которым работает Апач, а так же пхп или перл. Лучше вообще не давать читать скрипты всем, т.е права 750/640 Где владелец пользователь, от имени которого запускается интерпритатор. В группу входит пользователь Апача, чтобы читать простые хтмл.

Можно на скрипты поставить "липкий бит", тогда никто, кроме рута их поменять не сможет

Речь идёт о реальной ситуации.
О реальном хостинге, где я, очевидно, рутом не являюсь.

на хостинге - в mod-режиме - владелец влех php-процессов - один и тот же.
как вы такую схему сделаете?