quais são os perigos de dar às pessoas um subdomínio no meu domínio

Sim, se você permitir que as pessoas executem scripts PHP aleatórios ou outros scripts / executáveis CGI, eles poderão usá-los para fazer todo tipo de coisa em seu servidor. Assumindo um servidor Linux, a primeira coisa que você deve fazer é certificar-se de que o diretório de cada usuário seja acessível APENAS para seu proprietário e para o grupo do servidor web e então garantir que o servidor web esteja configurado para executar todos os scripts PHP e outros CGIs através de algo como suphp / suexec para que eles sejam executados como o usuário que os possui, em vez de executar com as permissões do servidor da web. Caso contrário, se os arquivos dos usuários forem legíveis por todo o mundo, qualquer script PHP também poderá lê-los. Se os scripts PHP forem executados como o servidor da Web, os scripts PHP poderão ler ou gravar em qualquer arquivo que o servidor da Web possa ler ou gravar, e isso pode incluir scripts de outras pessoas.

Proteger os usuários um do outro é apenas o primeiro passo. Proteger o servidor dos usuários é o próximo, e requer muito mais trabalho e vigilância contínua. Para isso, definir cotas (para impedir que os usuários preencham a unidade) e auditar as permissões sobre as coisas que os usuários não devem ter acesso seria apenas o começo.

Simplesmente falando: seu domínio pode ser roubado pelo FBI porque algum cara coloca algo em seu site que é ilegal.

Aconteceu. Algumas semanas atrás. O FBI foi atrás de pornografia infantil e apreendeu domínios ... eu acho que um deles foi usado por um provedor (pornografia infantil em um subdomínio) e tinha uns 70.000 subdomínios, todos "dark" (mostrando um comentário apreendido). Levou 2-3 dias para corrigir isso.

Sempre existe o risco de alguém se aproveitar de um bug ou obter acesso privilegiado, especialmente usando um protocolo de transferência de texto não criptografado como o FTP. O perigo reside principalmente em suas permissões concedidas ao usuário e em como você protege cada usuário.

Uma lista de verificação abrangente de segurança não é necessariamente aplicável porque, em primeiro lugar, não sabemos como você está implementando isso; o sistema operacional do servidor, o servidor para o conteúdo, como você está preso, etc.

E a segurança é um processo, não uma lista de verificação.

Realmente a única coisa que eu poderia dizer é assumir todos os seus usuários são maliciosos, caixa de areia-los, tanto quanto possível, verifique as permissões em subdiretórios para conceder o mínimo de privilégios necessário e verifique se você tem bons backups e um verificador de arquivo que faz somas de verificação para verificar se há atividade maliciosa, bem como um bom procedimento de atualização para manter os patches mais recentes aplicados. Além disso, não há muitos detalhes para a sua pergunta e a questão é tão ampla que o tópico pode preencher um livro ...

Como isso já não é mencionado ...

Alguém pode convencer uma autoridade de certificação a emitir um certificado SSL para o domínio pai e não apenas para seu próprio subdomínio.