安全的 Apache PHP 虛擬主機配置

我正在尋找使用 suexec 保護在 apache 下執行的一些網站。目前 php 與正在執行的文件的使用者/組一起執行。在我看來，這還不夠安全。它可以阻止虛擬主機相互干擾，但不會阻止惡意程式碼在正在使用的虛擬主機中的任何位置寫入。

我在想一種可能性是將腳本作為nobody/vhost組執行，這樣vhost使用者仍然可以完全訪問vhost目錄，但是執行php只能用g+w寫入文件，並且使用 g+x 執行文件。我認為這應該停止從受感染的 php 在 web 目錄中任意寫入。

只是想知道這是否瘋狂、荒謬、愚蠢？

當然，這將在現有安全措施的基礎上完成。

這既不荒謬也不愚蠢——也許有點瘋狂，但無論如何……你可能想看看MPM_peruser或MPM_itk，它們似乎對性能影響最小並且與 mod_php 100% 兼容。

SUEXEC 要求您使用 PHP 作為 CGI，它會對您的網站產生性能影響（當然這完全取決於您的網站的繁忙程度……）

此外，由於這只是現有安全措施之上的另一件事，我假設您已經有 suhosin、mod_security 設置和配置到位。

有關重要資訊，請查看參考：http ://catn.com/security/securing-mod-php/

引用自：https://serverfault.com/questions/266821