Php

安全的 Apache PHP 虛擬主機配置

  • April 9, 2012

我正在尋找使用 suexec 保護在 apache 下執行的一些網站。目前 php 與正在執行的文件的使用者/組一起執行。在我看來,這還不夠安全。它可以阻止虛擬主機相互干擾,但不會阻止惡意程式碼在正在使用的虛擬主機中的任何位置寫入。

我在想一種可能性是將腳本作為nobody/vhost組執行,這樣vhost使用者仍然可以完全訪問vhost目錄,但是執行php只能用g+w寫入文件,並且使用 g+x 執行文件。我認為這應該停止從受感染的 php 在 web 目錄中任意寫入。

只是想知道這是否瘋狂、荒謬、愚蠢?

當然,這將在現有安全措施的基礎上完成。

這既不荒謬也不愚蠢——也許有點瘋狂,但無論如何……你可能想看看MPM_peruserMPM_itk,它們似乎對性能影響最小並且與 mod_php 100% 兼容。

SUEXEC 要求您使用 PHP 作為 CGI,它會對您的網站產生性能影響(當然這完全取決於您的網站的繁忙程度……)

此外,由於這只是現有安全措施之上的另一件事,我假設您已經有 suhosin、mod_security 設置和配置到位。

有關重要資訊,請查看參考:http ://catn.com/security/securing-mod-php/

引用自:https://serverfault.com/questions/266821