安全な共用WWWサーバーについて

安全な共用WWWサーバーを作りたいので
バーチャルホスト毎に異なるユーザ・グループ権限で
ウェブサーバを実行したいのですが、
Apache1系では、何もインストールせず、httpd.confで
以下のように設定するだけで問題ないでしょうか？

<VirtualHost xxx>
User user
Group group
UserDir public_html
ServerName xxx
DocumentRoot /home/vhost/xxx
<VirtualHost vhost>

SuEXECという方法があるようですが、調べたところ
SuEXECモジュールでは、phpの実行権限を変えることはできないかったりパフォーマンスが悪いという事で
どういう方法で実現すべきか悩んでおります。

No.2 ベストアンサー 回答者： tk_uc 回答日時： 2006/10/03 15:11

> 以下のように設定するだけで問題ないでしょうか？

できないと思います。

通常はSuEXECを使うわけですが、仰るとおりApacheモジュールとして動作するphpはApacheの実行ユーザー権限で動作します。
パフォーマンスが落ちますが、phpをApacheモジュールとして組み込まずにCGIとしてのみユーザーに利用させれば良いのではないでしょうか。

この回答へのお礼

そうですね。いろいろ調べた結果、安定度を採るとsuExec,suPHPしかないようです。
ありがとうございました。

お礼日時：2006/10/07 15:20

No.4 回答者： onosuke 回答日時： 2006/10/05 00:35

恐らく、あなたの要求を全て満たせる安定したシステムというのは、公開ベースでは現存しません。

要求を満たすであろうシステム「Hi-sap」は
去年の「IPA未踏ソフトウェア事業」に採択されちゃうような代物です。

Hi-sapの資料に各システム構成の比較や現状が記載されているので参照してみてください。
（サイト内、「Event」ページの各「発表資料」です。）

参考URL：http://www.hi-sap.net/ja/

No.3 回答者： Lean 回答日時： 2006/10/03 17:25

ApacheのサイトにあるドキュメントのUserディレクティブの説明に下記のように書いてあります。

No.2の方の通りかと。

-------8<-------8<-------8<-------8<-------8<-------8<-------8<-------8<
特別な注意: このディレクティブを <VirtualHost> 内で使うには適切に設定された suEXEC ラッパーが必要です。このように <VirtualHost> の中で使われたときは CGI を実行するユーザだけが影響を受けます。 CGI 以外のリクエストは依然として主 User ディレクティブで指定されたユーザで処理されます。
-------8<-------8<-------8<-------8<-------8<-------8<-------8<-------8<

参考URL：http://httpd.apache.org/docs/1.3/mod/core.html#u …

No.1 回答者： tonton5656 回答日時： 2006/10/02 21:02

失礼ですが少なくとも最低限の設定で質問している人の

管理するWebサーバに「安全」なんて皆無です。
たいした知識/技術の無い人が管理するサーバは
保守/管理がまともにできないWebサーバの
できあがりです。