Isolamento dell'applicazione Web ospitata sullo stesso server web

Se si dispone di più siti Web sullo stesso server, a seconda del problema, un problema di sicurezza con un sito potrebbe influire su un altro.

Attenuare questo significa essenzialmente aumentare la separazione tra le due applicazioni. Puoi farlo utilizzando qualcosa come una prigione di chroot o se questo è non abbastanza isolamento da poter utilizzare i guest VM sullo stesso host per fornire più isolamento.

Ci sono vari livelli di protezione che puoi usare. Il più fondamentale sarebbe configurarli come siti separati che funzionano come utenti diversi e consentire solo l'accesso di ciascun sito agli asset di cui ha bisogno. A livello di base, questo dovrebbe impedire a un sito di poter accedere all'altro.

Ci sono ancora alcuni attacchi che potrebbero essere in grado di sfuggire a questo (se ad esempio sono in grado di aumentare i privilegi). Per offrire ulteriore protezione, puoi fare qualcosa come l'esecuzione di macchine virtuali per ciascuno dei siti che effettueranno ulteriori sandbox su ciascun sito. Ci sono ancora alcuni modi teorici per sfuggire a una VM, ma a quel punto saresti molto ben protetto, ma avresti anche richieste di risorse molto più elevate (dato che due kernel aggiuntivi dovrebbero essere in esecuzione).

Ci sono anche altri livelli che potreste fare in mezzo a quel tentativo di isolare un sandbox senza realmente fare una VM completa, ma non ne so molto di quelle tecniche o della loro efficacia. Personalmente, per tutti i siti che ho eseguito, semplicemente configurando correttamente gli utenti e consentendo a ciascun sito l'accesso alle proprie risorse (e mantenendo il server aggiornato) è stato sufficiente per le mie esigenze.