我只是设置VPS来运行Apache的php5-fpm,它被设置为以user:user身份运行每个用户池。
原因很简单,就是允许用户真正拥有自己的文件,而不是由www-data拥有自己的文件。 这些内容不能被这些用户改变/删除。
php5-fpm似乎为我解决了这个问题。
如果有的话,这种设置的安全含义是什么?
这是为用户可能不被信任的单独应用程序(即共享主机)设置单独环境的一种相当常见的方式。 你是正确的,它将使用* nix权限隔离每个池文件,绕过这些限制将是困难的,而不会说权限系统本身的漏洞(如特权升级错误)。
在senario中,应用程序受到攻击并授予攻击者系统访问权限,他们将只能访问该用户可以访问的系统中的位置(应该严格限制这些位置)。
您应该考虑的是确保user:usergroup被locking,以便在出现妥协的情况下,受到攻击不能隐式影响其他应用程序的操作。 例如
/etc/security/limits.conf和RAM,磁盘配额)。