自己的伺服器，多個網站：最安全的 PHP 設置

我們有一個帶有各種網站的公司伺服器。它們由我們公司內部的不同人員維護。所有網站都是公開的。伺服器訪問僅限於我們公司。這不是一個共享的託管環境。

我們正在研究保護伺服器，目前正在分析與文件權限相關的風險。我們認為最大的風險是文件被上傳然後被公眾打開/執行。這不應該發生，但腳本中的錯誤可能允許人們這樣做（有圖像上傳器、文件上傳器等）。上傳腳本使用 PHP。

所以問題是：設置/組織文件和程序權限的最佳方式是什麼？似乎有幾個選項可以執行 PHP（和 Apache）並設置權限。我們應該考慮什麼？有小費嗎？

我們正在考慮 mod_php 和 FastCGI，但也許考慮到我們的情況，其他解決方案是首選？

我強烈建議執行suPHP。使用 suPHP，每個網站都可以劃分為自己的使用者名，而不是以一般 Apache 使用者的身份執行。這意味著如果有人由於伺服器上的不安全腳本而碰巧“入侵”伺服器；它們將僅限於該站點，而不是整個伺服器。例外情況是，如果存在 root 漏洞，他們可以獲得對整個伺服器的訪問權限……但至少 suPHP 將有助於保護每個單獨的站點。

一旦您在不同的使用者上安裝了 Apache/PHP，伺服器上文件的讀/寫權限就變得很重要。您還可以從組織的角度更充分地利用權限，允許使用者更新其網站上的文件，而不僅僅是任何文件。

引用自：https://serverfault.com/questions/218276