以前の記事の通り、簡単なバーチャルホストは動いた。シンボリックリンクを適当なところに張っても問題無し。
　つーか、シンボリックリンクをお断りしようとしたら、ApacheのOptions -FollowSymLinksのようにパフォーマンスを犠牲にしてlstat祭りをするか、symlink禁止なFSにするくらいしか無さそうだ。
　となれば、ln -s / xのような行為が思い浮かぶ。つっても、それを防ごうとしたらlstat祭りか…。放置なんだろうな、と思いつつ一般ユーザー権限でテスト。ふつーに色々見えました。やはり放置か。

　では、これはセキュリティリスクなのだろうか。
　んー。よくよく考えてみたら、suexecしてないCGI使用可能なサーバと大して変わらないか。世の中そんなサーバだらけだしな。同鯖の他人のWordPressのDBアクセスのパスワードを抜いたりは出来るけど。でもそれ、どう防ぐのがいいんだろう。全員をusers所属にしてsuexec導入してgroupパーミッション落とすとか？
　まあ、身内鯖だからどうでもいいのだが。

追記:
　限定的な対策としてはchrootもあるけど、話はだいぶ変わるのだよな。