使用ITK模块而不是Suexec运行Apache服务器的好处是什么?思路是一样的,这是运行脚本与所有者的特权,而不是nobody, www或apache!
使用ITK比suexec好吗?如果是,为什么?安全性和性能比较起来怎么样?
MPM-ITK允许您使用每个用户的凭据而不是在Apache用户/组下运行Apache。Suexec在特定的用户/组下以CGI的形式运行脚本,但是Apache提供的静态文件仍然需要更多的开放权限才能访问。
MPM-ITK允许所有Apache模块(mod_php等)在特定的user:group下运行,静态文件具有与脚本相同的权限。主要的缺点是Apache的控制进程必须以root身份运行(降低了权限),所以它可以在解析请求后切换到任何用户。Suexec没有这种安全风险,但它只是脚本执行的解决方案(而不是网站内容隔离)。
这是一篇关于MPM-ITK vs Suexec以及其他解决方案的博文。作者接受MPM-ITK的安全含义,并认为它超过了竞争解决方案的缺点。我不同意作者的观点,即仅仅因为使用了MPM-ITK补丁,Apache漏洞就不太可能成功,所以如果您愿意接受安全风险以获得每个用户的利益,我建议您保持安全补丁的最新状态(我们应该这样做,对吧?)。
总之,MPM-ITK vs Suexec实际上是一个具体情况的决定。除了MPM-ITK之外,唯一的解决方案是在反向代理后面的每个用户Apache实例,如果服务器资源不是问题的话。在这里阅读更多信息:http://wiki.apache.org/httpd/ExtendingPrivilegeSeparation