(Да, я знаю, что вопросы, касающиеся lighttpd, лучше подходят для SF, но я подумал, что их лучше задавать здесь, так как они в первую очередь связаны с политикой безопасности.)
Мы планируем установить небольшой веб-сервер в моем колледже, чтобы люди могли получить немного веб-пространства для размещения веб-страниц и тому подобного. Они также могли загружать PHP-страницы. Вся установка выполняется из chroot-тюрьмы.
Мы думаем о том, чтобы использовать ту же инфраструктуру для создания дополнительных сервисов, например дискуссионного форума. Моя проблема заключается в том, что размещение форума в том же корневом каталоге документа (или, на самом деле, в той же среде с chroot) практически позволяет любому пользователю размещать небольшие PHP-скрипты в своих каталогах, которые могут получить доступ к файлам конфигурации форума (используя , скажем, file_get_contents
). Это огромный риск для безопасности! Есть ли способ решить эту проблему, за исключением отключения PHP для учетных записей пользователей и сохранения его включенным только для дискуссионного форума и т.п., или обслуживать форум в другом месте и проксировать его с помощью lighttpd?
Я сомневаюсь, что установка прав собственности/разрешений как-то поможет это исправить, поскольку, как мне кажется, процесс PHP FastCGI порождается веб-сервером и, следовательно, любая страница, к которой может получить доступ сервер (все они должны быть, видя, что в конечном итоге их должен обслуживать сервер) могут быть доступны с помощью PHP-скриптов, загруженных пользователем.
Любая помощь будет оценена по достоинству!