所以我想知道,我们应该采取什么步骤来确保 PHP 守护进程是安全的?
我读到的其中一件事是指定守护进程以具有有限权限的用户身份运行?但我们如何在 UNIX 中做到这一点?
我猜测使用 useradd 函数但我们如何确保 ADDED 用户具有有限的权限?
另外,当谈到 PHP 守护进程时,我们还应该采取哪些其他措施来确保安全?
编辑:我正在使用 Centos 5.5 (Linux)
答案1
答案是外部强制访问控制。
mod_apparmor是一个很好的解决方案,可以控制单个程序的安装,并防止一个应用程序中的安全漏洞对另一个应用程序造成影响。例如,您可以阻止编写不当的 PHP 脚本在您意想不到的时候写入文件。它将阻止 WordPress 中的安全漏洞允许访问同一台计算机上的 MediaWiki 安装。
另外,您还可以使用合适的 AppArmor 配置文件包装 Apache 本身。这真是太棒了。:)
如果您正在谈论直接运行而不是通过 Apache 运行的 PHP 守护进程,那么请像对待任何其他带有 AppArmor 的守护进程一样对待它们。