Linux
suPHP 是否比替代方案更安全?
我有一個 Web 應用程序需要對 LAMP 伺服器上的某些文件夾進行寫訪問。
由於 suPHP / suEXEC 將操作升級到您指定的帳戶,因此您的伺服器似乎不再安全,因為黑客仍然可以破壞您的站點(您只需選擇使用者)。
這比授予對這些特定文件/文件夾的 www-data 寫訪問權限更安全嗎?
請記住,
suexec
並不能消除所有安全問題,並且只處理非常小的問題子集。您提到黑客仍然可以破壞您的網站,但作為不同的使用者 - 這是真的。但是考慮一下這一點——在所有 Apache 實例都執行為 的共享託管環境中,www-data
被利用的 Apache 程序現在可以訪問所有內容www-data
,這可能跨越多個使用者。因此,如果您有一個只能查看自己文件的使用者,有一個被監禁的外殼(如果黑客能夠利用並以該使用者身份登錄),禁用登錄等,那麼利用該使用者,具體來說,將只有一個效果有限。這裡的目的不是為了防止黑客進入,而是限制他們一旦進入就造成的損害。由於 CGI 可以被利用,它仍然落在您的肩上,以確保您的腳本仍然是安全的。