使用mod_proxy改进LAMP 安全

　　但是，在使用 mod_php 模块主机托管时，PHP 页面作为 Apache 主进程的一部分执行。因此，它们继承 Apache 进程的所有凭证，而且它们在文件系统上执行的任何工作必须作为 www-data 用户执行。

　　在多个用户 ID 下运行 Apache

　　对于上面描述的问题，明显的解决方案是要求对一个用户域的所有请求都来自一个只拥有此用户的凭证的 Apache 实例。可以将 Apache 配置为在启动时获取任何用户的凭证。对于给每个用户分配一个单独的互联网可见 IP 地址/端口组合的简单设置，这种方法可以解决问题。

　　对于更复杂的设置（在其中 IP 地址很宝贵），这种方法是无效的。当单一 Apache 实例可以控制一个特定的 IP 地址/端口组合时，只能使用虚拟主机，这是 Apache 系统中广泛使用的一种技术。这就排除了让属于多个用户的多个域使用同一个 IP 地址/端口组合的可能性。

　　Apache 2.0 引入了多处理模块（multiprocessing module，MPM） 的概念。在基本 Apache 2.0 包提供的 MPM 中有一个实验性的模块 perchild，它可以将一个分布器线程分配给 IP 地址/端口组合，并将请求传递给在单独用户的凭证下运行的子线程，从而实现多个用户 ID 下的虚拟主机。遗憾的是，perchild 仍然是实验性的，它不一定能够发挥作用，而且在 Apache 2.2 发布时从正式 Apache 发行包中删除了。在此之前，由于认识到仍然需要一个稳定的能够发挥作用的与 perchild 相似的 MPM，Apache 社区开始研发许多 MPM 来弥补这一欠缺。MetuxMPM 以及面向过程的 peruser 正在朝着这个方向努力。（关于 MetuxMPM 和 peruser MPM 的更多信息，参见 参考资料）。

　　一个解决方案：mod_proxy

　　尽管还没有正式的 Apache MPM 能够直接提供多个用户 ID 下的虚拟主机，但是仍然可以通过某些配置和管理在 Apache 系统中实现这种行为。这种方法的核心概念是使用 mod_proxy 模块，这个模块（加上其他功能）使 Apache 能够将页面请求转发给其他服务器，并将响应传递回原来发出请求的客户机。