现在很多linux虚拟主机商，都会开通shell权限给用户，方便管理，但是这样一来也带来了巨大的安全问题。先说说运行环境，Apache(suexec+fcgid)+php+mysql，所有用户均有shell权限。

默认情况下，一旦某个站点存在漏洞或者某位用户心存不轨，同服务器站点数据很容易被窃取。以下为例：
A,B站点同属服务器C。
比如A站点的用户发现B站点有漏洞，爆出了物理路径，但无法注入无法取得上传权限。
默认情况下，网站文件一般权限都会设置权限至少755，则漏洞就会产生（若设置成751，则html等静态文件无法读取，711会造成无法列举目录内文件，无法找到首页）。

A用户在得到了B站点的路径的情况下，完全可以通过shell登录窃取到B站点的机密配置文件如config.php等，从而窃取到B的数据库资料。

当然有一个办法，能避免文件被窃取。目录设置为755，动态文件设置为751/711/600(不给其他用户读的权限)，静态文件设置成604/644

但这样做是无比的麻烦。。。

后继：通过配置ACL权限，额外分配给Apache运行用户读取和执行权限，并结合上述设置，能杜绝掉跨站攻击，而只需要设置目录或者文件权限为750即可。cgi(php)程序文件的权限可设置为600或400也能照常运行。但目录必须至少为750才能保证程序正常运行。

完美的方案是部署ACL+grsecurity+jailkit了。即便是爆了路径，也无法窃取到资料。