Webサーバーの共有に関してのセキュリティについて

Webサーバーを構築しており、色々なサイトを運用しています。

今まではこちらが全て作成し、サーバー上にアップロードしていましたが
これからはユーザーがFTPなりSSHなりでサーバーの DocumentRoot/User をデフォルトルートとして
提供しようと思ったのですが、セキュリティに関して教えて下さい。

①chrootでPHP、Apacheを別プロセスで動かしてSSHで提供する
②FTPSなりで試行回数制限などのセキュリティを高める
の上記２つを思いついたのですが、①に関しては面倒なような気がします。

②の場合、PHPでディレクトリトラバーサルがされないかの不安があるのですがどうなのでしょうか。
他業者サービスの多くはFTPでやりとりが出来るかと思いますがどのような対策がされているのでしょうか。

行動規範の内容に同意します

回答2件

ベストアンサー

・FTP/SFTP は chroot にする。SFTP の場合、SSH でシェルを使わせない。

・PHP は mod_suphp などを使うか、CGIモード＋suExec で実行ユーザーを変える。

PHP CGI を ~foo/public_html/ 配下で動かせば suExec が効きます。URL が変わってしまうので、mod_rewrite で変換する。apache ユーザーではなく foo ユーザーで実行されれば、ファイル／ディレクトリへのアクセスは UNIX のパーミッションで制限することができます。レンタル共用サーバーなどはこの構成でしょうか。

実行ユーザーを変えるまでもなければ、バーチャルホストにして DocumentRoot を分けるとか。

投稿2015/03/12 03:30