我有一台安装了 lighttpd 和 evhost 的机器。所有 evhost 都包含各种 php 应用程序,例如 wordpress、drupal 等。如果其中一个 php 应用程序受到攻击,攻击者将可以访问 evhost root 中的所有 php 应用程序。是否可以在“某种 chroot”中关闭每个 php 应用程序,同时仍启用对所有 evhost 的 sftp 访问(即不更改其文件权限/为它们设置单独的所有者)?越省力越好,而且我不想要任何涉及在添加新的 php-app/vhost 后重新启动 lighttpd 的解决方案。如果不可能 - 也许有一些选项可以稍微增强安全性?
答案1
spawn-fcgi帮助您在 chroot 环境中运行 PHP 解释器(并在另一个 UID/GID 下启动它)。可以在spawn-fcgi分别是lighttpd 维基但是,使用此方法,每次添加新的虚拟主机(或更准确地说:虚拟主机的 PHP 配置部分)时,您都需要重新启动/重新加载 lighttpd。
答案2
这绝对是不是一个优雅的解决方案,但您可能要运行一堆 lighttpd 实例,每个实例都 chrooted,然后将它们全部放在可以适当路由流量的反向代理之后。
至少,您可以隔离一些站点,这样如果一个 lighttpd 实例受到攻击,它只会影响一些虚拟主机,而不会影响其余的虚拟主机。因此,假设您有 3 个实例正在运行,您可以将虚拟主机拆分到这三个实例中。
事实上,您甚至可能需要考虑使用混合型 Web 服务器,这样影响一个服务器的漏洞仍然可以被另一个服务器阻止。
或许,只是一些值得考虑的事情。