У меня есть веб-приложение, которому требуется доступ на запись к определенным папкам на сервере LAMP.
Поскольку suPHP / suEXEC переводит операции в указанную вами учетную запись, похоже, что ваш сервер не более безопасен, потому что хакер может взломать ваш сайт (вы просто можете выбрать пользователя).
Является ли это более безопасным, чем предоставление доступа www-data для записи в эти конкретные файлы / папки?
Иметь ввиду, suexec делает не устраняет все проблемы с безопасностью и решает лишь очень небольшой набор проблем. Вы упоминаете, что хакер может взломать ваш сайт, но как другой пользователь - и это правда. Но учтите это - в среде общего хостинга, где все экземпляры Apache работают как www-data, эксплуатируемый процесс Apache теперь имеет доступ ко всему www-data имеет, который, вероятно, охватывает несколько пользователей.
Итак, если у вас был пользователь, который мог ТОЛЬКО просматривать свои собственные файлы, имел заключенную в тюрьму оболочку (если хакер мог использовать эксплойт и входить в систему как пользователь), отключенный вход в систему и т. Д., То использование этого пользователя, в частности, будет иметь только ограниченный эффект. Цель здесь не в том, чтобы помешать проникновению хакеров, а в том, чтобы ограничить их урон, как только они окажутся. Поскольку CGI можно эксплуатировать, на ваших плечах по-прежнему лежит ответственность за безопасность ваших скриптов.