我的一个服务器上本来只有我的一个网站。
后来帮朋友挂了一个网站。
问:如何保证我的网站的安全,防止他来更改我的页面什么的。
备注: 不是不信任朋友,而是怕他的站被黑了。
使用的软件: Apache php mysql
1
dennyzhang 2016-10-11 16:09:57 +08:00 1
给他开个 container?
|
2
stneng OP @dennyzhang 他不用 ssh 权限什么的,我也懒的开。。。
|
3
crab 2016-10-11 16:11:12 +08:00 1
创建个账号,权限只给你朋友的网站目录。
|
4
dennyzhang 2016-10-11 16:11:56 +08:00 1
LAMP 还是比较成熟,稳定的。软件本身不太可能被黑。
你一定需要给他 OS 的 root 权限吗?如果只是更新代码的话,可以让他开个 bitbucket 的 private repo 。然后,你定义一个 crontab 每隔十分钟去 git pull |
5
helloccav 2016-10-11 16:13:05 +08:00 1
最简单的方法用 open_basedir (不知有没有拼错)分隔网站就比较安全了
|
7
q397064399 2016-10-11 16:16:03 +08:00 via Android 1
最好是容器 然后隔离数据 权限
|
8
pmpio 2016-10-11 16:17:05 +08:00 1
系统层面,给他开个专用的 vsftpd ,限定到他的网站目录内;
web 层面,在虚拟主机内配置 php 限定访问目录。 |
9
stneng OP |
10
pmpio 2016-10-11 16:23:17 +08:00 1
那要看你的 php 是用 apache mod 还是 fastcgi 了,前者应该是在 apache 虚拟主机标记下配置。
|
11
stneng OP @pmpio 用的是 apache mod
是在 VirtualHost 中还是 Directory 中,那个更彻底一点?? |
13
gamexg 2016-10-11 20:32:32 +08:00 1
还是直接 docker 吧,虽然听说 docker 也能突破。
open_basedir 之类的 php 级别的限制需要封各种函数,到时候对方出问题你还的给他改。 单独的用户运行 php 也有权限查看很多文件。 直接 docker 省事,直接给对方一个独立的环境, php 版本之类的都能让对方随意选择。 |
14
jasontse 2016-10-11 20:40:02 +08:00 via iPad 1
以前用 Apache 的时候是 suPHP ,现在换了 nginx 直接在 php-fpm 里多启几个 pool 分属不同用户和端口。
|
15
guyskk 2016-10-11 23:12:49 +08:00 via Android 1
docker+1
|
16
Thoxvi 2016-10-11 23:50:01 +08:00 via Android 1
docker 大法好?
|
17
billion 2016-10-11 23:57:22 +08:00 via iPad 1
@dennyzhang bitbucket 支持 Git ?
|
18
billion 2016-10-11 23:59:26 +08:00 via iPad 1
@dennyzhang 抱歉之前没有用过 bitbucket,原来真的支持 Git
|
19
pubby 2016-10-12 00:35:35 +08:00 via Android 1
docker
其他都是折腾了还会出问题 |
20
msg7086 2016-10-12 00:55:05 +08:00 1
fpm 可以设置成运行在某一个账号权限下。
就算被黑了也就是只能用这个账号的权限而已。 |
21
msg7086 2016-10-12 00:56:22 +08:00 1
|
23
DuckJK 2016-10-12 08:56:07 +08:00 1
装个 docker 往里面一丢就不用管了,直接下一个 lnmp ,多方便。
|
24
annielong 2016-10-12 09:15:41 +08:00 1
高端点用 docker ,想省事直接给个 ftp 账户,只更新 web ,
|
26
ryd994 2016-10-12 10:52:27 +08:00 via Android 1
怕容器被爆就上 kvm 呗,其实性能损失也没多大
|
27
tylerdurden 2016-10-12 13:42:29 +08:00 1
用 chroot 即可。
|
28
stneng OP |
29
tylerdurden 2016-10-12 18:30:27 +08:00 1
@stneng 全局的,可以结合 base_dir 来控制。
|
30
stneng OP @tylerdurden 不是很懂,可以详细说说怎么配置吗?或者给个教程什么的。谢谢。
|