Что лучший способ состоит в том, чтобы защитить lighttpd на fcgi-php приложение?
Страница справочника предлагает megaraid -alarm -silence то, что Вы хотите.
Это - определенно не изящное решение, но Вы могли возможно выполнить набор lighttpd экземпляров, каждого chrooted и затем поместить их всех позади обратного прокси, который направляет трафик соответственно.
По крайней мере Вы могли изолировать некоторые сайты так, чтобы, если один lighttpd экземпляр поставлен под угрозу, он только влиял на некоторый vhosts и не остальную часть их. Так, предположение, что у Вас есть 3 выполнения экземпляров, Вы можете, например, разделять vhosts среди этих трех экземпляров.
На самом деле можно даже хотеть рассмотреть использование смеси веб-серверов так, чтобы уязвимости, которые влияют, можно все еще быть остановлен другим.
Просто что-то для рассмотрения, возможно.
икра-fcgi помогает Вам выполнить интерпретатор PHP в chroot среде (и запустить его под другим UID/GID). Примеры для этого могут быть найдены в икре-fcgi соответственно lighttpd Wiki. С этим методом, однако, необходимо перезапустить/перезагрузить lighttpd каждый раз, когда Вы добавляете новый виртуальный хост (или более точно: часть конфигурации PHP виртуального хоста).