我提供部分网络托管解决方案,我的客户可以上传和执行他们自己的 php 脚本。
除了我必须检查的安全例程(这里偏离主题)之外,我想知道是否有可能阻止我的客户在那里设置“攻击地下室”?
我相信除了让他们签署一些政策接受书之外,我做不了什么……
此外,由于所有主机仅共享几个 IP,是否存在所有人都被禁止的风险?
答案1
答案是客户端之间的适当隔离以及一些限制资源的限制。
入站/出站流量(voretaq7 建议)、CPU、内存、磁盘使用率和磁盘 IO 是实现此目标的关键。具体操作方法可能因您使用的托管解决方案而异。
答案2
如果允许人们在不受限制的环境中执行任意代码,那么你几乎无法保证其“安全”——当我在一家提供 PHP 共享托管的 ISP 工作时,我们通过仅向经过某种程度审查的公司/个人销售产品来缓解这种情况,以确保他们不是 J. Random。Haxor 正在寻找一个发起攻击的平台,老实说,这是解决这个问题的最佳方法。
除此之外,您还可以限制出站网络访问(使用 PHP 设置或通过防火墙 - 后者更可取)。
这可能会让合法用户感到沮丧,但也会阻止恶意用户从您的服务器发起攻击。
请注意,这仅针对出站攻击 - 正如您所指出的,您需要考虑其他事项才能充分保护您的服务器本身。这将是一个有趣的后续问题。