我有一个 Web 应用程序需要对 LAMP 服务器上的某些文件夹具有写权限。
由于 suPHP / suEXEC 将操作升级到您指定的帐户,因此您的服务器似乎不再安全,因为黑客仍然可以破坏您的网站(您只需选择用户)。
这比授予 www-data 对这些特定文件/文件夹的写访问权限更安全吗?
答案1
suexec请记住,不是消除所有安全问题,只处理一小部分问题。您提到黑客仍可能入侵您的网站,但以不同的用户身份入侵——这是事实。但请考虑这一点——在共享托管环境中,所有 Apache 实例都以 身份运行www-data,被利用的 Apache 进程现在可以访问所有www-data内容,这可能涉及多个用户。
因此,如果您有一个只能查看自己文件的用户,拥有被监禁的 shell(如果黑客能够利用并以该用户身份登录),禁用登录等,那么利用该用户只会产生有限的效果。这里的目的不是防止黑客入侵,而是限制他们入侵后的破坏。由于 CGI 可以被利用,因此确保您的脚本仍然安全的责任仍然落在您的肩上。