一个关于服务器安全的问题

给他开个 container?

@dennyzhang 他不用 ssh 权限什么的，我也懒的开。。。

创建个账号，权限只给你朋友的网站目录。

LAMP 还是比较成熟，稳定的。软件本身不太可能被黑。

你一定需要给他 OS 的 root 权限吗？如果只是更新代码的话，可以让他开个 bitbucket 的 private repo 。然后，你定义一个 crontab 每隔十分钟去 git pull

最简单的方法用 open_basedir （不知有没有拼错）分隔网站就比较安全了

@crab 是开一个类似于 www-data 的账号吗？
apache 可以开吗？

最好是容器 然后隔离数据 权限

系统层面，给他开个专用的 vsftpd ，限定到他的网站目录内；
web 层面，在虚拟主机内配置 php 限定访问目录。

@helloccav
@pmpio
问一下 php 的限定访问目录是在 apache 中配吗？
网上的教程有点乱，问一下，谢谢！

那要看你的 php 是用 apache mod 还是 fastcgi 了，前者应该是在 apache 虚拟主机标记下配置。

@pmpio 用的是 apache mod
是在 VirtualHost 中还是 Directory 中，那个更彻底一点？？

@pmpio
顺便问一下，如何测试是否成功设置限制？

还是直接 docker 吧，虽然听说 docker 也能突破。
open_basedir 之类的 php 级别的限制需要封各种函数，到时候对方出问题你还的给他改。
单独的用户运行 php 也有权限查看很多文件。

直接 docker 省事，直接给对方一个独立的环境， php 版本之类的都能让对方随意选择。

以前用 Apache 的时候是 suPHP ，现在换了 nginx 直接在 php-fpm 里多启几个 pool 分属不同用户和端口。

docker+1

docker 大法好？

@dennyzhang bitbucket 支持 Git ？

@dennyzhang 抱歉之前没有用过 bitbucket,原来真的支持 Git

docker
其他都是折腾了还会出问题

fpm 可以设置成运行在某一个账号权限下。
就算被黑了也就是只能用这个账号的权限而已。

@pubby
「其他都是折腾了还会出问题」

亲你这是从根本上否定了 Linux 的安全性啊……
另外你以为 docker 就不会被人抓漏洞破容器了么→_→

@msg7086 如果不上虚拟化，最大限度隔离还是用容器啊，其他不是折腾是什么?

装个 docker 往里面一丢就不用管了，直接下一个 lnmp ，多方便。

高端点用 docker ，想省事直接给个 ftp 账户，只更新 web ，

@msg7086 憋说了，在我的 linux 内核全版本通杀远程溢出 0day 下除了拔网线你别无选择

怕容器被爆就上 kvm 呗，其实性能损失也没多大

用 chroot 即可。

@tylerdurden chroot 好像不能让 apache 下的两个网站使用不同的 chroot 吧。

@gamexg 问问要禁用哪些函数，他不会用别的函数的（他只要用 wp 而已）。

@stneng 全局的，可以结合 base_dir 来控制。

@tylerdurden 不是很懂，可以详细说说怎么配置吗？或者给个教程什么的。谢谢。