使用 ITK 模块而不是运行Apache服务器的 Suexec 有什么好处?这个想法是一样的,即运行具有所有者权限的脚本而不是 nobody , www 或 apache !
使用 ITK 更好地支持 suexec 吗?如果是这样,为什么?相比之下,安全性和性能如何?
答案 0 :(得分:19)
MPM-ITK允许您使用每用户凭据而不是Apache用户/组来运行Apache。 Suexec在特定用户/组下将脚本作为CGI运行,但Apache提供的静态文件仍需要更多的开放权限才能被访问。
MPM-ITK允许所有Apache模块(mod_php等)在特定用户下运行:具有与脚本具有相同权限的静态文件的组。主要的缺点是Apache的控制进程必须以root身份运行(权限降低),以便在解析请求后切换到任何用户。 Suexec没有这种安全风险,但它只是脚本执行的解决方案(而不是网站内容隔离)。
这是a blog post with a good summary regarding MPM-ITK vs Suexec and other solutions。作者接受了MPM-ITK的安全隐患,认为它超出了竞争解决方案的缺点。我不同意作者认为Apache漏洞不太可能因为MPM-ITK补丁正在使用而成功,所以我建议你及时更新你的安全补丁(无论如何,对吗?)如果你是愿意接受安全风险以获得每个用户的利益。
总之,MPM-ITK vs Suexec实际上是一种情况决定。如果服务器资源不是问题,那么MPM-ITK之外的唯一解决方案是反向代理背后的每用户Apache实例。在此处详细了解:http://wiki.apache.org/httpd/ExtendingPrivilegeSeparation