Я много читал о том, что если кто-то получил доступ к одному из моих веб-сайтов, его следует посадить в тюрьму на этом веб-сайте. Я понимаю, что это значит, но не уверен, как этого добиться.
У меня есть веб-сервер debian, на котором запущено несколько веб-сайтов php / mysqli, настроенных с помощью vhost.
Насколько "в тюрьме" достаточно? Запустив каждый «сайт» на собственном веб-сервере с одним сервером базы данных, вы, вероятно, сможете сломать тюрьму через сервер базы данных.
Разделение каждого сайта также на отдельные процессы для базы данных и веб-сервера дает небольшой шанс выйти из тюрьмы через операционную систему. Это приводит к вопросу, лучший ли способ разместить каждый сайт на собственной виртуальной машине.
Но не могли бы вы сломать тюрьму виртуальной машины через узел виртуальной машины?
Так что вопрос только в том, насколько вы этого хотите. И сколько времени вы хотите потратить на обеспечение безопасности своей среды. Хотя 100% безопасность невозможна.
Более простым решением вашей проблемы является изоляция на системном уровне. В Википедия существует таблица с разными технологиями.
Только предупреждение. Если кто-либо получит доступ к site1, потому что ваше программное обеспечение уязвимо, также получит доступ к site2 с такой же уязвимостью. В этом случае изоляция вас не защитит. Этот метод защищает вас только от уязвимостей вашего пользовательского веб-кода.