使用mod_proxy改进LAMP 安全

　　清单 1. 基本请求转发的反向代理配置示例

　　清单 1 中的代码是一个简单的示例，它将对一个主机的 /foo 层次结构下任何页面的请求转发到 http://foo.example.com/bar 的对应页面。例如，对 /foo/index.htm 页面的请求会转发到 http://foo.example.com/bar/index.htm。可以使用这一原理解决问题。

　　示例场景

　　我们来考虑一个场景：Apache 管理员必须为两个单独的客户建立两个域。一个客户是在线创业企业，很关注在线安全性。另一个是个人客户，他在站点安全性方面比较宽松，可能将不安全的代码上载到这个站点。因此，Apache 管理员必须采取措施将这两个站点隔离开。

　　因此，管理员有两个域：www.startup.tld，它属于在线创业企业（用户 ID startup）；以及 www.reckless.tld，它属于个人（用户 ID nimrod）。为了解决这个问题，管理员决定使用 mod_proxy 解决方案。管理员给每个用户一个单独的 Apache 实例，这个实例运行在用户自己的用户 ID 下，使用私有的 IP 地址/端口组合，并使用 mod_proxy 解决方案通过一个 facade 服务器提供对这两个用户的域的访问，这个服务器作为 www-data 运行，使用一个公共的 IP 地址/端口组合。图 1 说明了整个场景。

　　图 1. 场景示例

　　推荐的 Apache 版本

　　对于示例应用程序配置中的每个元素，Apache 管理员应该使用 表 1 中列出的 Apache 版本。

　　表 1. 示例应用程序中使用的 Apache 版本