Proteger a configuração do vhost PHP do Apache

2

Estou procurando proteger alguns sites em execução no apache usando o suexec. No momento, o php é executado com o usuário / grupo do arquivo que está sendo executado. Isso parece-me, não seguro o suficiente. Isso impede que vhosts interfiram uns com os outros, mas não impede que códigos mal-intencionados sejam escritos em lugar algum do vhost sendo usado.

Eu estava pensando que uma possibilidade seria rodar scripts como nobody / vhost group, dessa forma o usuário vhost ainda poderia ter acesso total aos diretórios vhost, mas a execução do php só seria capaz de gravar em arquivos com g + w e para executar arquivos com g + x. Isso eu acho que deve parar a escrita arbitrária no diretório web do php comprometido.

Apenas imaginando se isso é maluco, ridículo, estúpido?

Claro que isso seria feito em cima das medidas de segurança existentes.

    
por jsimmons 06.05.2011 / 01:41

1 resposta

1

Não é ridículo nem estúpido - talvez um pouco maluco mas mesmo assim ... você pode querer olhar em MPM_peruser ou MPM_itk que parece ter um impacto mínimo no desempenho e é 100% compatível com o mod_php.

O SUEXEC exige que você use o PHP como um CGI e ele terá impacto no desempenho de seus sites (claro que tudo depende de quão ocupados são seus sites ...)

Além disso, como isso é apenas mais uma coisa sobre as medidas de segurança existentes, presumo que você já tenha suhosin, mod_security setup & configurado no lugar.

Para uma grande informação, consulte o ref: link

    
por 09.04.2012 / 00:30