我正在寻找安全使用suexec在Apache下运行的一些网站。 目前php正在执行的文件的用户/组执行。 这在我看来,不够安全。 它可以阻止互相干扰的虚拟主机,但不会阻止正在使用的虚拟主机中的任何地方写入恶意代码。
我以为有可能将脚本作为nobody / vhost组运行,这样vhost用户仍然可以完全访问vhost目录,但执行php只能使用g + w写入文件,并且用g + x执行文件。 这个我认为应该停止任意写在web目录从受损的PHP。
只是想知道这是疯狂的,荒谬的,愚蠢的?
当然,这将在现有的安全措施之上完成。
这不是荒谬或愚蠢 – 也许有点疯狂,但无论如何…你可能想看看MPM_peruser或MPM_itk这似乎有最小的性能影响,并与mod_php 100%兼容。
SUEXEC要求您使用PHP作为CGI,并且会对您的网站产生性能影响(当然,这一切取决于您的网站的繁忙程度)
另外,因为这只是现有安全措施的另一件事情,我假设你已经有suhosin,mod_security设置和configuration。