使用ITK模块而不是运行Apache服务器的Suexec有什么好处?这个想法是一样的,即运行具有所有者权限的脚本而不是nobody,www或apache!
使用ITK更有利于suexec吗?如果是这样,为什么?相比之下,安全性和性能如何?
jim*_*imp 20
MPM-ITK允许您使用每用户凭据而不是Apache用户/组来运行Apache.Suexec在特定用户/组下将脚本作为CGI运行,但Apache提供的静态文件仍需要更多的开放权限才能被访问.
MPM-ITK允许所有Apache模块(mod_php等)在特定用户下运行:具有与脚本相同权限的静态文件的组.主要的缺点是Apache的控制进程必须以root身份运行(权限降低),以便在解析请求后切换到任何用户.Suexec没有这种安全风险,但它只是脚本执行的解决方案(而不是网站内容隔离).
这是一篇关于MPM-ITK vs Suexec和其他解决方案的博客文章.作者接受了MPM-ITK的安全隐患,认为它超出了竞争解决方案的缺点.我不同意作者的说法,因为MPM-ITK补丁正在使用中,Apache漏洞不太可能成功,所以我建议你及时更新你的安全补丁(无论如何,对吗?)如果你是愿意接受安全风险以获得每用户的利益.
总之,MPM-ITK vs Suexec实际上是一种情况决定.如果服务器资源不是问题,那么MPM-ITK之外的唯一解决方案是反向代理背后的每用户Apache实例.在这里阅读更多相关信息:http://wiki.apache.org/httpd/ExtendingPrivilegeSeparation
| 归档时间: |
|
| 查看次数: |
8044 次 |
| 最近记录: |