一个关于服务器安全的问题

给他开个 container?

@dennyzhang 他不用 ssh 权限什么的，我也懒的开。。。

创建个账号，权限只给你朋友的网站目录。

LAMP 还是比较成熟，稳定的。软件本身不太可能被黑。

你一定需要给他 OS 的 root 权限吗？如果只是更新代码的话，可以让他开个 bitbucket 的 private repo 。然后，你定义一个 crontab 每隔十分钟去 git pull

最简单的方法用 open_basedir （不知有没有拼错）分隔网站就比较安全了

@crab 是开一个类似于 www-data 的账号吗？
apache 可以开吗？

最好是容器 然后隔离数据 权限

系统层面，给他开个专用的 vsftpd ，限定到他的网站目录内；
web 层面，在虚拟主机内配置 php 限定访问目录。

@helloccav
@pmpio
问一下 php 的限定访问目录是在 apache 中配吗？
网上的教程有点乱，问一下，谢谢！

那要看你的 php 是用 apache mod 还是 fastcgi 了，前者应该是在 apache 虚拟主机标记下配置。

@pmpio 用的是 apache mod
是在 VirtualHost 中还是 Directory 中，那个更彻底一点？？

@pmpio
顺便问一下，如何测试是否成功设置限制？

还是直接 docker 吧，虽然听说 docker 也能突破。
open_basedir 之类的 php 级别的限制需要封各种函数，到时候对方出问题你还的给他改。
单独的用户运行 php 也有权限查看很多文件。

直接 docker 省事，直接给对方一个独立的环境， php 版本之类的都能让对方随意选择。

以前用 Apache 的时候是 suPHP ，现在换了 nginx 直接在 php-fpm 里多启几个 pool 分属不同用户和端口。

docker+1

docker 大法好？

@dennyzhang bitbucket 支持 Git ？

@dennyzhang 抱歉之前没有用过 bitbucket,原来真的支持 Git

docker
其他都是折腾了还会出问题

fpm 可以设置成运行在某一个账号权限下。
就算被黑了也就是只能用这个账号的权限而已。