Как полностью закрыть доступ к файловой системе кроме папки с веб-документами?

[Drakon]

Как полностью закрыть доступ к файловой системе кроме папки с веб-документами?

Есть виртуальный хост в апаче: www.host.ru, папка /var/www/www.host.ru/www
Хочу полностью отделить форум, находящийся по адресу www.host.ru/forum/ от основного сайта.
Для этого перенёс его в отдельную директорию /var/www/forum_www.host.ru/www, прописал
Alias /forum "/var/www/forum_www.host.ru/www"
и задал для директории следующие параметры:

 php_admin_value open_basedir   /var/www/forum_www.host.ru/www
    php_admin_value upload_tmp_dir /var/www/forum_www.host.ru/www/tmp
    php_admin_value doc_root   	/var/www/forum_www.host.ru/www

Но почему-то php-скрипты всё равно могут при помощи команды system выполнять shell-скрипты и лазить по файловой системе (возможно есть ещё какие-то способы, которые я не знаю). Как на 100% гарантировать, что ни один скрипт не вылезет за пределы каталога форума (желательно не отключая команду system)?

Нашёл такой параметр, как SuexecUserGroup, но он задаётся только для виртуального хоста... А у меня форум под тем же виртуальным хостом, что и сайт.

 

[Активист]

Есть какие-то ограниченные виртуальные машины (точно не знаю).

А вообще через disabled functions отключи все system и аналогичные функции.

 

[DiMA]

safe mode включи

 

[Drakon]

Но от safe mode хотят отказаться в PHP 6... Поэтому должны же быть другие пути?
Единственная альтернатива, которую я нашёл - это SuexecUserGroup... Есть у кого идеи, как прописать в 2 разных виртуальных хоста сайт и форум в моей ситуации?

 

[DiMA]

не тупи, safemode - это именно то, что тебе нужно, без извращений с запретом функций и команд