服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 强化hhvm ini文件的最佳做法是什么?
Intereting Posts
将Office 365用户与AD DS合并? 从特定的IP和任何地方的pfSense OpenVPN 如何configurationbind9以路由到主机的IP 如何激活OS X上的launchd日志logging? 如何使UNC访问不同的networking? 在整个VPS被数据中心暂停之前自动挂起DDOSed网站的工具 谁能依靠Apache清理URL? 设置freebsd kerberos密钥服务器windows客户端login必须 Quest迁移pipe理器的Exchange和自定义托pipe文件夹 – 导致重复 问题与Nginx SSLconfiguration301 http到https Mysql慢速查询日志已打开但不logging任何内容 RDS部署redirect无法正常工作 用MD3000构buildSAN(i) lighttpd子域 Cisco 6500的每发送者stream量限制

强化hhvm ini文件的最佳做法是什么?

为了提高安全性,

  • 是否有任何最佳实践或“必须拥有”来configurationHHVM设置?
  • 在安全方面有没有绝对的重要性?
  • 什么是build议大多数用例?

在官方文档中进行研究,需要configuration大量的设置: https : //github.com/facebook/hhvm/wiki/INI-Settings

我猜测HHVM的安全最佳实践与PHP相似或相同。 根据我的经验,HHVM的行为大部分类似于PHP,只是它倾向于对variablestypes实施更严格的约束。

要彻底:

  1. 加强环境。 服务器软件当然是: http : //www.cyberciti.biz/tips/linux-security.html
  2. 在适用的情况下, 跨服务器分发服务 服务器上的数据库,另一个上的Memcache等。为了使系统尽可能保持故障安全:隔离故障点。
  3. 将所需特权的最小数量授予 Web服务器上的任何项目。 至less,属于Web服务器的文件的所有者不应该是root,并且可写文件夹应该保存在Web根目录之外。 这样可以限制特权升级的影响,并减less代码上传和注入的风险。
  4. 这是有争议的,他们是默认启用,但许多networking主机使用php.ini禁用function,如exec或proc_open。 在一个共享的环境中,他们基本上给任何php开发者一个shell。 在vps上,他们可能会向外部用户授予shell。 特权升级并不遥远。
  5. 其余的,和php.ini特定的项目,在这篇文章中详细讨论: http : //www.madirish.net/199

其他考虑因素包括一般的容错内存消耗,使用精益软件(比如Nginx及其低内存占用),以减less拒绝服务的风险,以及可能的debugging或编译时间文件。 式。 只要组件发生故障(包括HHVM),您不希望任何人阅读核心转储,并且HHVM生成.hhvm.hhbc文件 – caching的字节码文件。 你也想隐藏,保存,也许还有一些小小的操作。

更多详细信息(从2012年)可在这里: http : //hhvm.com/blog/4061/go-faster

有些人仍然可以申请。