O suPHP é mais seguro que as alternativas?

1

Eu tenho um aplicativo da Web precisa de acesso de gravação para determinadas pastas em um servidor LAMP.

Como o suPHP / suEXEC encaminha as operações para uma conta que você especificar, parece que seu servidor não é mais seguro porque um hacker ainda pode comprometer seu site (basta escolher o usuário).

Isso é mais seguro do que conceder acesso de gravação de dados www nesses arquivos / pastas específicos?

    
por Trent Scott 25.04.2012 / 17:55

1 resposta

3

Lembre-se de que suexec não elimina todos os problemas de segurança e lida apenas com um subconjunto muito pequeno de problemas. Você menciona que um hacker ainda pode comprometer seu site, mas como um usuário diferente - o que é verdade. Mas considere isso - em um ambiente de hospedagem compartilhada, onde todas as instâncias do Apache estão sendo executadas como www-data , um processo explorado do Apache agora tem acesso a tudo o que é www-data , o que provavelmente abrange vários usuários.

Portanto, se você tivesse um usuário que pudesse visualizar seus próprios arquivos, tivesse um shell preso (se o hacker pudesse explorar e fazer login como usuário), desativado, etc., explorar esse usuário, especificamente, tem apenas um efeito limitado. O objetivo aqui não é impedir que hackers entrem, mas limitar seus danos assim que estiverem. Como o CGI pode ser explorado, ainda cabe a você garantir que seus scripts ainda estejam protegidos.

    
por 25.04.2012 / 18:19