Apache-2.2

強制 apache 上的腳本在不同帳戶下執行以增強安全性?

  • October 1, 2010

我客戶的網站最近遭到破壞,他們正在尋求減輕這種風險。他們有一個執行 apache 和 mod_php 的專用伺服器。該網站由安裝在不同文件夾中的三個單獨的 php 應用程序(客戶門戶腳本、wordpress 和自定義數據庫驅動腳本)組成。他們的安全審計建議隔離每個腳本,這樣如果其中任何一個被黑客入侵,其他兩個就不會被破壞等。他們還建議使用 fast-cgi 而不是 mod_php。也提到了 Suexec,但不清楚為什麼推薦這樣做。

有人可以確認這是否有意義並且實際上是可能/可行的。如果是這樣,實現所提議的安全解決方案的最佳方式是什麼?

使用 suPHP 或 suEXEC (+ fcgi/cgi) 是保護伺服器(分離應用程序)的好選擇。

要做到這一點,您需要為每個應用程序設置不同的虛擬主機,例如:app1.domain.com、app2.domain.com、app3.domain.com。如果您的站點結構是上面這樣,那麼設置 3 個虛擬主機,使用 3 個不同的使用者/組來服務 php(使用提到的方法 - suexec,suphp)不會有問題。

如果是這樣,實現所提議的安全解決方案的最佳方式是什麼?

每個站點最好使用虛擬機(KVM,OpenVZ,XEN,Jail)或使用 chroot(mod_chroot,php-fpm)。

引用自:https://serverfault.com/questions/186105