• 七牛的JS SDK 的文档真坑啊.
  • 蓝奏云分享部分地区无法访问需手动修改www.lanzous.com变为:www.lanzoux.com
  • 好气啊~原来使用的CDN服务商莫名其妙的给我服务取消了~
  • 遇见一个沙雕汽车人.
  • 换了证书看看测试一下效果~
  • 煞笔!啥时候开工资?
  • 哪位小垃圾CC我呢?一位来自湖南的小垃圾!反正我流量无限的这样也没意义啊?
  • 测试一哈
  • 丫的Google抓取不到..换CF吧..
  • 告诉大家一个小秘密.域名后面加上 /siwa 发现不一样的世界…

说说用宝塔做为出售虚拟主机的弊端

杂谈 KIENG 1年前 (2019-09-04) 116093次浏览 已收录 0个吐槽

说说用宝塔做为出售虚拟主机的弊端

宝塔6.9.9 版本已更新,PHP 的 SESSION 已经隔离

现在越来越多的主机商使用网上一些为宝塔专门定制的虚拟主机管理系统,出售虚拟主机,但是实际上从安全性和稳定性上来说,都是有缺陷的,下面就给大家分析一下原因。
首先宝塔所有站点的php进程池(php-fpm)是共享的,php-fpm在配置文件中可以设置php起始进程数量,最大进程数量以及最小进程数量(如下图)。然而宝塔对于php-fpm配置每个站点是共享的,也就是说如果一个网站访问量过大占用进程数过多,其它站点就没有进程数量可以用了。在这一点上宝塔还不如amh面板amh对于每个站点可以单独配置php-fpm,另外kangle 商业版对于每个主机也是独立进程池的(现在kangle 商业版早就免费开放使用了)。
说说用宝塔做为出售虚拟主机的弊端
然后说说最主要的安全性上的问题,很多人认为用宝塔开虚拟主机,只需要打开防跨站禁用危险 php 函数就万事大吉了,实际上根本不是这样。大家都知道,php 的session会保存在服务器的/tmp目录里面,宝塔里面每个虚拟主机都可以访问服务器的/tmp目录。如果某个网站程序后台的验证方式是session,那么其它虚拟主机就可以获取到他的session文件,从而不需要密码就可以直接进入网站后台。kangle每个主机都是以独立的linux用户运行的(如下图),因此他们生成的session也是以不同的用户保存的,虽然kangle也可以访问到服务器/tmp目录,但是当前用户不能访问其它用户的文件,因此其它主机的session的内容不会被泄露。
说说用宝塔做为出售虚拟主机的弊端
kangle这种每个主机独立用户、独立进程运行的方式非常适合出售虚拟主机,不论安全性和稳定性也都是所有面板里面最高的。因为kangle不同主机是不同的用户,在kangle里面即使是不开防跨站,也是安全的。之前发生过几次 kangle 被黑事件,是因为一些脚本没有设置好关键文件的权限(现在都已修复),和 kangle 本身安全性无任何关系。

并不是说宝塔面板不够好,而是现阶段的宝塔面板,不适用于出售虚拟主机这个方面.单独来看宝塔面板还是一个简单易用的好面板!


KIENG , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA 4.0协议进行授权
转载请注明出处:说说用宝塔做为出售虚拟主机的弊端
本文章链接:https://blog.kieng.cn/1441.html
喜欢 (5)
KIENG
关于作者:
一个热衷网络的Man
发表我的评论
取消评论
表情 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 快速获取昵称
  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址