所以我想知道,我们应该采取哪些步骤来确保PHP守护进程是安全的?
我读到的一个事情是分配守护进程作为一个有限priveleges用户运行? 但是我们怎么能在UNIX上做到这一点?
我猜测使用useradd函数,但我们如何确保用户ADDED具有有限的权限?
当涉及到PHP守护进程时,我们还应该采取哪些其他步骤来提高安全性?
编辑:我使用Centos 5.5(Linux)
外部强制访问控制就是答案。
mod_apparmor是一个很好的解决scheme,它可以控制单个程序的安装,并在一个应用程序中保持一个安全漏洞。 例如,你可以保留一个写得不好的PHP脚本,当你从来没有预料到它的时候。 它将保留WordPress的安全漏洞,允许在同一台机器上访问MediaWiki安装。
另外,你可以用合适的AppArmorconfiguration文件来包装Apache本身。 这真是太棒了 🙂
如果你正在谈论直接运行而不是通过Apache运行的PHP守护进程,那么就像AppArmor的其他守护进程一样对待它们。