Apache-2.2

自己的伺服器,多個網站:最安全的 PHP 設置

  • January 4, 2011

我們有一個帶有各種網站的公司伺服器。它們由我們公司內部的不同人員維護。所有網站都是公開的。伺服器訪問僅限於我們公司。這不是一個共享的託管環境。

我們正在研究保護伺服器,目前正在分析與文件權限相關的風險。我們認為最大的風險是文件被上傳然後被公眾打開/執行。這不應該發生,但腳本中的錯誤可能允許人們這樣做(有圖像上傳器、文件上傳器等)。上傳腳本使用 PHP。

所以問題是:設置/組織文件和程序權限的最佳方式是什麼?似乎有幾個選項可以執行 PHP(和 Apache)並設置權限。我們應該考慮什麼?有小費嗎?

我們正在考慮 mod_php 和 FastCGI,但也許考慮到我們的情況,其他解決方案是首選?

我強烈建議執行suPHP。使用 suPHP,每個網站都可以劃分為自己的使用者名,而不是以一般 Apache 使用者的身份執行。這意味著如果有人由於伺服器上的不安全腳本而碰巧“入侵”伺服器;它們將僅限於該站點,而不是整個伺服器。例外情況是,如果存在 root 漏洞,他們可以獲得對整個伺服器的訪問權限……但至少 suPHP 將有助於保護每個單獨的站點。

一旦您在不同的使用者上安裝了 Apache/PHP,伺服器上文件的讀/寫權限就變得很重要。您還可以從組織的角度更充分地利用權限,允許使用者更新網站上的文件,而不僅僅是任何文件。

引用自:https://serverfault.com/questions/218276