如何为共享主机环境保护Apache？(染色，避免符号连接.)

Question

我在处理Apache配置时遇到了问题:问题是我想将每个用户限制在自己的docroot上(所以，chroot()就是我要找的)，但是：

• Mod_chroot只在全局上工作，而对每个虚拟主机不起作用:我让用户在一个类似于下面的/home/vhosts/xxxxx/domains/domain.tld/public_html (xxxxx是用户)的路径上工作，并且不能解决/home/vhosts的问题，因为用户仍然可以看到对方。
• 使用apache-mod-itk会减慢网站的速度，我不确定它是否能解决任何问题。
• 如果不使用前两者中的任何一个，我认为只剩下避免符号链接，不允许用户链接到不属于他们的东西。

所以，我想我要遵循第三点，但是.如何在保持mod_rewrite工作的同时有效地避免符号链接？！

php已经用php着色了，所以我唯一关心的是Apache本身。

Answer 1

为什么需要限制apache本身？锁定您的脚本运行时(php、Perl、ruby、.)不是更好/足够吗？在显色仪里？如果是这样的话，请查看mod_fastcgi，以及如何为所需的特定语言(S)启动持久解释器。

Answer 2

任何看到这篇文章的人都应该注意到，Apache将SymLinksIfOwnerMatch描述为不是一种适当的安全措施：

不应将此选项视为安全限制，因为符号链接测试受竞争条件的限制，使其可以规避。“ (来自http://httpd.apache.org/docs/2.2/mod/core.html#options)。

除了完全不允许符号链接并阻止用户在.htaccess文件中覆盖该设置之外，要查看用于防止符号链接攻击的解决方案，请查看https://documentation.cpanel.net/display/EA/Symlink+Race+Condition+Protection (不仅仅是cPanel特定的)。