Я хочу защитить некоторые веб-сайты, работающие под apache, с помощью suexec. В настоящий момент php выполняется с пользователем / группой исполняемого файла. Мне это кажется недостаточно надежным. Он останавливает взаимодействие vhosts друг с другом, но не останавливает запись вредоносного кода в любом месте используемого виртуального хоста.
Я думал, что можно будет запускать сценарии от имени группы nobody / vhost, таким образом, пользователь vhost все еще может иметь полный доступ к каталогам vhost, но выполнение php сможет записывать только файлы с g + w и выполнять файлы с помощью g + x. Я думаю, это должно остановить произвольную запись в веб-каталог из скомпрометированного php.
Просто интересно, безумно ли это, смешно, глупо?
Конечно, это будет сделано в дополнение к существующим мерам безопасности.
Это не смешно или глупо - возможно, немного безумно, но в любом случае ... вы можете захотеть взглянуть на MPM_peruser или MPM_itk который, кажется, оказывает минимальное влияние на производительность и на 100% совместим с mod_php.
SUEXEC требует, чтобы вы использовали PHP в качестве CGI, и это повлияет на производительность ваших сайтов (конечно, все зависит от того, насколько загружены ваши сайты ...)
Кроме того, поскольку это просто еще одна вещь в дополнение к существующим мерам безопасности, я предполагаю, что у вас уже есть suhosin, mod_security, настроенный и настроенный на месте.
Более подробную информацию можно найти по ссылке: http://catn.com/security/securing-mod-php/