Apache ITK诉Suexec

Question

使用ITK模块而不是运行Apache服务器的Suexec有什么好处？这个想法是一样的，就是用所有者特权来运行脚本，而不是任何人、www或apache！

使用ITK来支持suexec更好吗？如果是，为什么？与之相比，安全性和性能如何？

Answer 1

MPM允许您使用每个用户的凭据而不是在Apache用户/组下运行Apache。Suexec在特定的用户/组下以CGI的形式运行脚本，但是Apache提供的静态文件仍然需要更多的开放权限才能被访问。

MPM允许所有Apache模块(mod_php等)在特定用户下运行:使用与脚本具有相同权限的静态文件分组。主要的缺点是Apache的控制进程必须以root用户的身份运行(以降低的权限)，以便在解析请求后切换到任何用户。Suexec不存在这种安全风险，但它只是脚本执行的解决方案(不是网站内容隔离)。

这是一篇关于MPM-ITK对Suexec和其他解决方案的很好总结的博客文章。。作者接受MPM的安全含义，并认为它弥补了竞争解决方案的缺陷。我不同意作者的观点，即仅仅因为MPM修补程序正在使用，Apache攻击就不太可能成功，所以我建议您的安全修补程序保持最新状态(无论如何，我们应该这样做，对吗？)如果您愿意接受安全风险，以获得每个用户的利益。

总之，MPM与Suexec的对决实际上是一个针对不同情况的决策.除了MPM之外，唯一的解决方案是反向代理背后的每个用户Apache实例，如果服务器资源不是问题的话。在这里阅读更多关于这一点的信息：http://wiki.apache.org/httpd/ExtendingPrivilegeSeparation