Zi 字媒體

前言 一般來說 Linux Apache 服務啟動時，預設都是限定一組使用者與群組來執行程序（通常是 apache 這個帳號）。但有時我們常透過虛擬主機 (Virtual Host) 在同一個 Apache 掛載許多站台。 有時候用了很多 Open Source 的架站軟體，像是 WordPress, Joomla, Drupal 等等。這時候問題來了，如果大家都是用同樣的使用者在執行，一旦其中一個網站被入侵，Hacker 就可以很輕易的透過 Apache 程序存取同主機其他站台的檔案資料 (例如透過 PHP)，很快的整台主機就會淪陷。 那我們可要想個辦法控制 Apache 執行程序，目的只是讓非法的程式只能讀取限制的 Document Root。有兩種方法可以達到效果，一種是 chroot 另一種就是 MPM (Multi-Processing Module)。個人比較不喜歡 Chroot 作法，由於本人技術不佳，擔心控制不好可能會整個站都被看光光，所以這裡我們介紹 MPM 來指定 Apache Virtual Host 程序的使用者與群組。 安裝 mpm-itk 套件 直接用 rpm 從 Webstatic 安裝 yum repository 1 [root@server ~]# rpm -Uvh http://mirror.webtatic.com/yum/centos/5/latest.rpm  安裝 httpd-itk 套件 1 [root@server ~]# yum install --enablerepo=webtatic httpd-itk  編輯 /etc/sysconfig/httpd 指定用 httpd.itk 來執行，請加入以下設定 1 HTTPD=/usr/sbin/httpd.itk  編輯 /etc/httpd/conf.d/php.conf 載入 PHP Module，請加入以下設定 1 2 3   LoadModule php5_module modules/libphp5.so  編輯 Virtual Host 設定檔，透過 AssignUserID 參數設定 Apache 程序的使用者與群組，範例如下： 1 2 3 4 5 6 7 8 9     ServerName weba.gg-server.com     AssignUserID weba weba     DocumentRoot /home/weba/www              Options Indexes FollowSymLinks MultiViews         allow from all       重新啟動 Apache 1 [root@server ~]# service httpd restart  大功告成，簡單吧！ 參考資料 Using Apache2 ITK Multi-Processing Module on Linux Apache mpm-itk for CentOS 6 The Apache 2 ITK MPM 分享到 Twitter(在新視窗中開啟) 按一下以分享至 Facebook(在新視窗中開啟) 分享到 LinkedIn(在新視窗中開啟) 點這裡寄給朋友(在新視窗中開啟) 按一下即可分享至 Skype(在新視窗中開啟) 分享到 Reddit(在新視窗中開啟) 分享到 Tumblr(在新視窗中開啟) 按一下以分享到 Telegram(在新視窗中開啟)