Eu tenho uma máquina com configuração lighttpd e evhost. Todo o evhost contém vários aplicativos php como wordpress, drupal etc. Se um dos aplicativos php for comprometido, o invasor terá acesso a todos os aplicativos php no evhost root. É possível fechar cada aplicativo php em um 'tipo de chroot' e ainda permitir acesso sftp a todos os evhosts (isto é, não alterar suas permissões de arquivo / configurá-los proprietários separados)? Quanto menos esforço melhor, mais eu não quero nenhuma solução que envolva reiniciar o lighttpd depois de adicionar o novo php-app / vhost. Se não for possível - talvez haja algumas opções que melhorariam um pouco a segurança?
spawn-fcgi ajuda você a executar o interpretador PHP em um ambiente chroot (e iniciá-lo sob outro UID / GID). Exemplos para isso podem ser encontrados no spawn-fcgi , respectivamente, o lighttpd wiki . Com este método, no entanto, você precisa reiniciar / recarregar o lighttpd toda vez que adicionar um novo host virtual (ou mais precisamente: a parte de configuração do PHP de um host virtual).
Definitivamente não é não uma solução elegante, mas você pode executar um monte de instâncias lighttpd, cada uma delas chrooted e colocá-las todas atrás de um proxy reverso que roteia o tráfego apropriadamente.
No mínimo, você poderia isolar alguns dos sites para que, se uma instância lighttpd fosse comprometida, ela afetasse apenas alguns vhosts e não o restante deles. Portanto, supondo que você tenha 3 instâncias em execução, você pode, por exemplo, dividir os vhosts entre as três instâncias.
Na verdade, você pode até querer considerar o uso de uma mistura de servidores da Web para que as vulnerabilidades que afetam uma delas ainda possam ser interrompidas por outra.
Apenas algo a considerar, talvez.