安全なApache PHP vhost構成
Suexecを使用してApacheで実行されているいくつかのWebサイトを保護したいと考えています。現時点では、実行中のファイルのユーザー/グループでphpが実行されています。これは私には思えますが、十分に安全ではありません。 vhostが相互に干渉するのを防ぎますが、使用されているvhostのどこかに悪意のあるコードを書き込むのを止めません。
スクリプトをnobody/vhostグループとして実行する可能性があると考えていました。そうすれば、vhostユーザーはvhostディレクトリに完全にアクセスできますが、phpを実行すると、g + wを使用してファイルに書き込むことしかできなくなります。 g + xでファイルを実行します。これは、侵害されたphpからのWebディレクトリへの任意の書き込みを停止する必要があると思います。
これがクレイジー、ばかげている、愚かであるかどうか疑問に思っていますか?
もちろん、これは既存のセキュリティ対策に加えて行われます。
それはばかげていたり愚かではありません-おそらく少しクレイジーですがとにかく...あなたは MPM_peruser または MPM_itk を見てみたいかもしれませんこれはパフォーマンスへの影響が最小限で100%互換性があるようですmod_phpで。
SUEXECでは、CGIとしてPHPを使用する必要があり、Webサイトのパフォーマンスに影響を与えます(もちろん、Webサイトの混雑具合によって異なります...)
また、これは既存のセキュリティ対策に加えて別のことなので、すでにsuhosin、mod_securityのセットアップと構成が行われていると思います。
優れた情報については、参照を参照してください: http://catn.com/security/securing-mod-php/