Binnenkort zullen we de bestaande installaties van Apache en PHP gaan vervangen.
Huidige situatie
Op dit moment draaien wij Apache-suexec met suPHP om te kunnen vaststellen van welke gebruiker een script is. Dit is wenselijk om te kunnen achterhalen waar inbraakpogingen vandaan komen.
Nieuwe situatie
De combinatie Apache-suexec met suPHP heeft een nadeel: het technische verhaal erachter is dat alle processen steeds via het moederproces lopen, waardoor bestanden en scripts op een website leesbaar moeten zijn voor apache. Dit houdt tevens in dat gebruikers tot op zekere hoogte bij elkaars bestanden kunnen, ook als deze niet publiekelijk op hun website staan.
Daarom gaan we over naar Apache-MPM-ITK met een normale PHP.
Met deze Apache-versie kunnen de bestanden beter beveiligd worden, waardoor het niet-openbaren op uw website tevens betekent dat niemand er nog bij kan, op welke wijze dan ook.
Wat merkt u van de overgang
Zo min mogelijk. Wij zullen de migratie op een ochtend uitvoeren en dit zal hooguit twee minuten downtime veroorzaken voor de websites.
Daarna zullen wij alle beveiligingsrechten goed zetten en de details afmaken. Hier merkt u in principe niets van.
Mocht er onverhoopt iets fout gaan, dan is binnen enkele minuten de oude situatie hersteld.
[UPDATE 9/8/2010] De aanpassing is inmiddels succesvol doorgevoerd.
