Apache サーバーを実行するSuexecの代わりにITKモジュールを使用する利点は何ですか? 考え方は同じです。つまり、nobody、www、またはapacheではなく、所有者権限でスクリプトを実行します。
suexecを支持してITKを使用する方が良いですか? もしそうなら、なぜですか?比較して、セキュリティとパフォーマンスはどうですか?
8371 次
1 に答える
22
MPM-ITK を使用すると、Apache ユーザー/グループではなく、ユーザーごとの資格情報で Apache を実行できます。Suexec はスクリプトを特定のユーザー/グループの下で CGI として実行しますが、Apache が提供する静的ファイルにアクセスするには、さらに多くのオープン アクセス許可が必要です。
MPM-ITK を使用すると、すべての Apache モジュール (mod_php など) を特定の user:group の下で実行でき、静的ファイルはスクリプトと同じ権限を持ちます。主な欠点は、Apache の制御プロセスを root として (権限を減らして) 実行する必要があるため、リクエストが解析された後に任意のユーザーに切り替えることができることです。Suexec にはこのようなセキュリティ リスクはありませんが、スクリプト実行のソリューションにすぎません (Web サイト コンテンツの分離ではありません)。
これは、MPM-ITK と Suexec およびその他のソリューションに関する優れた要約を含むブログ投稿です。著者は、MPM-ITK が競合するソリューションの欠点を上回るという意見とともに、MPM-ITK のセキュリティへの影響を受け入れています。MPM-ITK パッチが使用されているという理由だけで Apache エクスプロイトが成功する可能性が低いという著者の意見には同意しません。ユーザーごとのメリットを得るために、セキュリティ リスクを進んで受け入れます。
要約すると、MPM-ITK と Suexec は状況に応じた決定です。サーバー リソースが問題にならない場合、MPM-ITK 以外の唯一のソリューションは、リバース プロキシの背後にあるユーザーごとの Apache インスタンスです。詳細については、こちらをご覧ください: http://wiki.apache.org/httpd/ExtendingPrivilegeSeparation
于 2013-06-02T19:46:12.513 に答える