Php
安全的 Apache PHP 虛擬主機配置
我正在尋找使用 suexec 保護在 apache 下執行的一些網站。目前 php 與正在執行的文件的使用者/組一起執行。在我看來,這還不夠安全。它可以阻止虛擬主機相互干擾,但不會阻止惡意程式碼在正在使用的虛擬主機中的任何位置寫入。
我在想一種可能性是將腳本作為nobody/vhost組執行,這樣vhost使用者仍然可以完全訪問vhost目錄,但是執行php只能用g+w寫入文件,並且使用 g+x 執行文件。我認為這應該停止從受感染的 php 在 web 目錄中任意寫入。
只是想知道這是否瘋狂、荒謬、愚蠢?
當然,這將在現有安全措施的基礎上完成。
這既不荒謬也不愚蠢——也許有點瘋狂,但無論如何……你可能想看看MPM_peruser或MPM_itk,它們似乎對性能影響最小並且與 mod_php 100% 兼容。
SUEXEC 要求您使用 PHP 作為 CGI,它會對您的網站產生性能影響(當然這完全取決於您的網站的繁忙程度……)
此外,由於這只是現有安全措施之上的另一件事,我假設您已經有 suhosin、mod_security 設置和配置到位。
有關重要資訊,請查看參考:http ://catn.com/security/securing-mod-php/