我们想要build立一个运行Apache2和PHP5的共享networking服务器。 我们的需求是托pipe一些PHP应用程序,如Wordpress,Zend框架应用程序…一些网站可能由外部开发人员控制,所以我们需要安全性高。
我们将喜欢用PHP运行安全模式=closures,因为运行ie的问题。 wordpress在安全模式下。
我们如何确保从php应用程序的访问权限到服务器的其余部分? (如何确保PHP-cade,不能访问web服务器configuration文件,日志等)
我们如何确保两个网站之间的访问权限? (如何确保一个站点无法访问其他站点的文件/数据)
我们考虑过利用mpm-itk与open_basedir结合的优势,但这足够了吗?
有没有对服务器文件系统的访问权限的build议?
那么禁用像system(),exec()等一些function呢?
我为服务器上的每个共享虚拟主机使用具有单独用户/组的单独用户MPM。 这些用户限制了主目录(700)和会话文件的单独目录。 我已经使用suhosin修补了PHP, 并将与安全相关的指令(如open_basedir )添加到了php.ini中。
请记住,共享主机configuration永远不能“完全”保护。
如果你想要一个安全的服务器,不要运行Wordpress,也不要运行外部开发人员编写的代码。
但是,因为这似乎是一个基本的要求,那么除了所有常见的事情,你应该做的build立一个安全的http服务器…
open_basedir是一个好的开始。 但是,如果你只有两个站点分开,为什么不把它们放在服务器上的自己的虚拟机? 或者运行Web服务器的两个实例作为不同的用一个普通的反向代理的用户名?
你当然想非常专注于你的出口过滤。 如果你打算去单一的networking服务器的路线,绝对看看suhosin。