• 妈的,写之前不说,写完了了你说不行.中途我还问你你说对.你真是中国第一Monkey
  • 沃妮马,过的真快!转眼又上班了.等待十月一.
  • 还有1天就是端午节了.过的真快, 在这个公司工作半年啦..
  • 咦~哪个弟弟CC我呢?
  • 简单,简单.我提个思路.
  • 不算今天还有2天就放假了.
  • 一切随缘,随波逐流.
  • 我的天啊,手欠把写了两天的项目删除了,回收站都没有!真是一干二净!心态爆炸!
  • 如果您需要随机数,请使用 random_int(). 如果需要随机字节字符串,请使用 random_bytes(). 所以不要使用 mt_rand(), rand(), 或 uniqid() .
  • 五一过去的真快

说说用宝塔做为出售虚拟主机的弊端

杂谈 KIENG 2周前 (09-04) 16273次浏览 已收录 0个吐槽 扫描二维码

说说用宝塔做为出售虚拟主机的弊端

宝塔6.9.9 版本已更新,PHP 的 SESSION 已经隔离

现在越来越多的主机商使用网上一些为宝塔专门定制的虚拟主机管理系统,出售虚拟主机,但是实际上从安全性和稳定性上来说,都是有缺陷的,下面就给大家分析一下原因。
首先宝塔所有站点的php进程池(php-fpm)是共享的,php-fpm在配置文件中可以设置php起始进程数量,最大进程数量以及最小进程数量(如下图)。然而宝塔对于php-fpm配置每个站点是共享的,也就是说如果一个网站访问量过大占用进程数过多,其它站点就没有进程数量可以用了。在这一点上宝塔还不如amh面板amh对于每个站点可以单独配置php-fpm,另外kangle 商业版对于每个主机也是独立进程池的(现在kangle 商业版早就免费开放使用了)。
说说用宝塔做为出售虚拟主机的弊端
然后说说最主要的安全性上的问题,很多人认为用宝塔开虚拟主机,只需要打开防跨站禁用危险 php 函数就万事大吉了,实际上根本不是这样。大家都知道,php 的session会保存在服务器的/tmp目录里面,宝塔里面每个虚拟主机都可以访问服务器的/tmp目录。如果某个网站程序后台的验证方式是session,那么其它虚拟主机就可以获取到他的session文件,从而不需要密码就可以直接进入网站后台。kangle每个主机都是以独立的linux用户运行的(如下图),因此他们生成的session也是以不同的用户保存的,虽然kangle也可以访问到服务器/tmp目录,但是当前用户不能访问其它用户的文件,因此其它主机的session的内容不会被泄露。
说说用宝塔做为出售虚拟主机的弊端
kangle这种每个主机独立用户、独立进程运行的方式非常适合出售虚拟主机,不论安全性和稳定性也都是所有面板里面最高的。因为kangle不同主机是不同的用户,在kangle里面即使是不开防跨站,也是安全的。之前发生过几次 kangle 被黑事件,是因为一些脚本没有设置好关键文件的权限(现在都已修复),和 kangle 本身安全性无任何关系。

并不是说宝塔面板不够好,而是现阶段的宝塔面板,不适用于出售虚拟主机这个方面.单独来看宝塔面板还是一个简单易用的好面板!


KIENG , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA 4.0协议进行授权
转载请注明原文链接:说说用宝塔做为出售虚拟主机的弊端
本文章链接:https://blog.kieng.cn/1441.html
喜欢 (5)
KIENG
关于作者:
一个热衷网络的Man
发表我的评论
取消评论
表情 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 快速获取昵称
  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址