Поэтому мне было интересно, какие шаги мы должны предпринять, чтобы убедиться, что демоны PHP безопасны?
Одна из вещей, о которой я читал, - это назначение демона запускаться от имени пользователя с ограниченными привилегиями? Но как это сделать в UNIX?
Я предполагаю использовать функцию useradd, но как мы можем убедиться, что пользователь ADDED имеет ограниченные привилегии?
И какие еще шаги мы должны сделать для обеспечения безопасности, когда речь идет о демонах PHP?
РЕДАКТИРОВАТЬ: я использую Centos 5.5 (Linux)
Внешний обязательный контроль доступа - вот ответ.
mod_apparmor - отличное решение, которое позволит контролировать установку отдельных программ и не допустить, чтобы брешь в безопасности в одном приложении повлияла на все другое. Например, вы можете уберечь плохо написанный сценарий PHP от записи файлов, когда вы этого не ожидали. Это предотвратит доступ к установке MediaWiki на том же компьютере в WordPress.
Кроме того, вы можете обернуть сам Apache подходящим профилем AppArmor. Это действительно фантастика. :)
Если вы говорите о демонах PHP, которые запускаются напрямую, а не через Apache, относитесь к ним как к любому другому демону с помощью AppArmor.