我有一台机器与lighttpd和evhost设置。 所有的evhost包含各种PHP应用程序,如WordPress,Drupal等。 如果其中一个PHP应用程序被攻破,攻击者将有权访问所有的PHP应用程序在evhost的根。 是否有可能closures每个PHP应用程序在'种类的chroot',仍然启用sftp访问所有evhosts(即不改变他们的文件权限/设置他们单独的所有者)? 越less效果越好,再加上我不希望任何解决scheme,包括添加新的php-app / vhost后重新启动lighttpd。 如果这是不可能的 – 也许有一些select会增加安全性?
spawn-fcgi帮助你在chroot环境下运行PHP解释器(并在另一个UID / GID下启动它)。 这个例子可以在spawn-fcgi和lighttpd wiki中find 。 但是,使用这种方法,每次添加新的虚拟主机(或更准确地说:虚拟主机的PHPconfiguration部分)时,都需要重新启动/重新加载lighttpd。
这绝对不是一个优雅的解决scheme,但是您可能会运行一堆lighttpd实例,每个实例都被chrooted,然后将它们全部放在反向代理之后,以适当地路由stream量。
至less,你可以隔离一些网站,所以如果一个lighttpd实例受到攻击,它只会影响一些虚拟主机,而不会影响其他虚拟主机。 所以,假设你有3个实例在运行,你可以例如在这三个实例之间拆分虚拟主机。
事实上,你甚至可能想考虑使用Web服务器混合,以便影响一个的漏洞可能仍然被另一个阻止。
只是要考虑一下,也许。