我在处理 Apache 配置时遇到问题:问题是我想将每个用户限制为他自己的 docroot(因此,我正在寻找一个 chroot()),但是:
- Mod_chroot 仅适用于全局而不适用于每个虚拟主机:我的用户位于如下路径中
/home/vhosts/xxxxx/domains/domain.tld/public_html(xxxxx 是用户),并且无法解决问题 chrooting/home/vhosts,因为用户仍然可以看到对方。 - 使用 apache-mod-itk 会大大降低网站速度,我不确定它是否能解决任何问题
- 在不使用前两者的情况下,我认为唯一剩下的就是避免符号链接,不允许用户链接到不属于他们的东西。
所以,我想我要遵循第三点但是......如何有效地避免符号链接同时仍然保持 mod_rewrite 工作?!
php 已经用 php-fpm chroot 了,所以我唯一关心的是 Apache 本身。
任何看到这篇文章的人都会注意到 Apache 描述
SymLinksIfOwnerMatch为不是适当的安全措施:除了完全禁止符号链接并防止用户覆盖 .htaccess 文件中的该设置之外,要查看防止符号链接攻击的解决方案,请查看https://documentation.cpanel.net/display/EA/Symlink +Race+Condition+Protection(这不仅仅是特定于 cPanel 的)。
为什么需要限制 apache 本身?将脚本运行时(php、Perl、ruby 等)锁定在 chroot 中不是更好/足够吗?如果是这样,请查看 mod_fastcgi 以及如何为您需要的特定语言启动持久解释器。