nginx php 安全配置,Nginx 和 PHP-FPM 权限安全配置

最新推荐文章于 2024-04-02 10:13:43 发布
最新推荐文章于 2024-04-02 10:13:43 发布
阅读量391 收藏
点赞数
文章标签: nginx php 安全配置

环境:

一台Gentoo宿主机

两个WordPress博客

Nginx

PHP-FPM 5.6

MySQL

需要做到两个WordPress博客权限上互相安全隔离。

大致步骤:

新建两个系统用户: blog1, blog2. shell是nologin.

MySQL 新建两个用户blog1/blog2, 两个新数据库dbblog1/dbblog2, 分别将用户开放给各自数据库

WordPress压缩包解压后, 属主全部改为blog1/blog2

PHP-FPM 使用sock通信; 进程属主是blog1/blog2, sock文件的属主是blog1/blog2, 属组是nginx; 开启chroot

Nginx进程权限是nginx

以下记录步骤, 只针对blog1, blog2和blog1配置完全一样, 改其中个别字段即可:

创建两个系统服务用户:

因为是作为服务用户, 所以shell需要设置为/sbin/nologin 禁止登录; 另外, 不需要生成home目录.

$ useradd -u 1201 -s /sbin/nologin -d /dev/null blog1

MySQL新建用户, 数据库, 配置权限:

数据库级别权限隔离, 且各用户只有自己相关数据库的权限.

CREATE DATABASE dbblog1;

CREATE USER 'blog1'@'localhost' IDENTIFIED BY '';

GRANT ALL ON dbblog1.* TO 'blog1'@'localhost';

FLUSH PRIVILEGE;

WordPress压缩包解压, 更改文件属主:

属主更改是为了PHP-FPM有权限读写站点文件.

$ tar zxvf wordpress-4.4.2-zh_CN.tar.gz

$ mv wordpress blog1

$ chown -R blog1 blog1

$ ls -alhd blog1

drwxr-xr-x 5 blog1 nogroup 4.0K Feb 3 08:13 blog1

PHP-FPM 配置:

首先修改主配置 /etc/php/fpm-php5.6/php-fpm.conf:

注释掉 Pool Definitions 中的所有配置项, 即去掉默认的 www Pool; 开启 include 项:

; Include one or more files. If glob(3) exists, it is used to include a bunch of

; files from a glob(3) pattern. This directive can be used everywhere in the

; file.

; Relative path can also be used. They will be prefixed by:

; - the global prefix if it's been set (-p argument)

; - /usr/lib64/php5.6 otherwise

include=/etc/php/fpm-php5.6/etc/fpm.d/*.conf

每个web site一个独立的php-fpm配置(具体解释看默认的配置文件):

$ cat /etc/php/fpm-php5.6/etc/fpm.d/blog1.conf

[blog1]

user = blog1 ; php-fpm子进程的uid

group = nogroup

listen = /var/run/php-fpm-blog1.sock

listen.owner = nginx ; sock通信文件的属主, 和nginx通信

listen.group = nginx ; sock通信文件的属组, 和nginx通信

listen.mode = 0660

pm = dynamic

pm.max_children = 5

pm.start_servers = 2

pm.min_spare_servers = 1

pm.max_spare_servers = 3

chroot = /var/www/blog1

chdir = /

配置 user 是为了控制权限, 读写站点文件.

配置 listen.owner/group 是为了nginx有权限和php-fpm通信.

设置 chroot 到站点目录下, 限制最小访问权限. 命令 pwdx 可以查看指定进程的当前工作目录.

$ ps aux | grep php

root 5646 0.0 0.3 247836 7192 ? Ss 14:55 0:00 php-fpm: master process (/etc/php/fpm-php5.6/php-fpm.conf)

blog1 5647 0.0 0.6 247944 13884 ? S 14:55 0:00 php-fpm: pool blog1

blog1 5648 0.0 0.6 247812 13192 ? S 14:55 0:00 php-fpm: pool blog1

blog2 5649 0.0 1.4 251840 29756 ? S 14:55 0:00 php-fpm: pool blog2

blog2 5650 0.0 0.3 247812 6636 ? S 14:55 0:00 php-fpm: pool blog2

root 10071 0.0 0.1 112700 2100 pts/4 S+ 15:52 0:00 grep --color php

$ pwdx 5647

5647: /var/www/blog1

Nginx配置:

server {

listen 80;

server_name blog1.tankywoo.com;

index index.php;

access_log /var/log/nginx/blog1_log main;

error_log /var/log/nginx/blog1_error_log;

root /var/www/blog1/;

location ~ .php$ {

try_files $uri =404;

fastcgi_pass unix:///var/run/php-fpm-blog1.sock;

include fastcgi.conf;

fastcgi_param SCRIPT_FILENAME /$fastcgi_script_name;

}

}

注意 fastcgi_param 配置. 如果是默认的:

fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

则PHP-FPM(fastcgi)读取index.php, 即/var/www/blog1/inex.php.

而因为PHP-FPM配置了chroot, 所以这个目录是当对于chroot后的目录.

即实际读取/var/www/blog1/var/www/blog1/index.php

中间过程中, 遇到几个报错:

php-fpm log:

php-fpm chroot FastCGI sent in stderr: “Primary script unknown” while reading response header from upstream

找不到php文件, 原因就是fastcgi的SCRIPT_FILENAME配置之前没配.

数据库连接失败

原因是WordPress默认是通过socket连接数据库, 而此时web site是chroot的, 所以没法找到sock文件.

方法1是把sock文件mount进去:

$ mkdir -p /var/www/blog1/var/run/mysqld

$ mount --bind /var/run/mysqld /var/www/blog1/var/run/mysqld

不过此方法不够完美。

方法2就是将WordPress改为通过tcp链接MySQL, wp-config.php 增加:

define('DB_HOST', '127.0.0.1');

参考链接:

loretta bu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
docker-compose php7.3.4-fpm+nginx+mysql配置
09-07
docker-compose php7.3.4-fpm+nginx+mysql配置
nginx调用php-fpm出错解决方法和nginx配置详解
09-30
在安装并配置NginxPHP-FPM后,启动PHP-FPM服务的命令通常是 `/usr/local/php/sbin/php-fpm`。然而,当尝试访问通过Nginx配置PHP文件(如`index.php`)时,可能会遇到无法打开页面的问题。此时,检查Nginx日志...
php-fpm配置详解
无界编程
04-02 5005
http://duyongguang.blogbus.com/logs/156375484.htmlphp5.3自带php-fpm/usr/local/php/etc/php-fpm.confpid = run/php-fpm.pidpid设置,默认在安装目录中的var/run/php-fpm.pid,建议开启error_log = log/php-fpm.log错误日志,默认在安装目录中的var
正确设置 php-fpm子进程用户 提高网站安全性 防止被挂木马
yuhui2f的专栏
12-16 699
核心总结:php-fpm 子进程所使用的用户,不能是网站文件所有者。 凡是违背这个原则,则不符合最小权限原则。 根据生产环境不断反馈,发现不断有 php网站被挂木马,绝大部分原因是因为权限设置不合理造成。因为服务器软件,或是 php 程序中存在漏洞都是难免的,在这种情况下,如果能正确设置 Linux 网站目录权限php 进程权限,那么网站的安全性实际上是可以得到保障的。 那么,造成网站被
配置php-nginx环境时的权限
wz12013的博客
04-17 202
如果php-fpm的用户和网站根目录权限不匹配时,页面会报file not found 或403 当nginx用户跟网站根目录权限不匹配时静态文件出不来 所以nginxphp-fpm,网站根目录权限要统一 ...
php5fpm安全,php-fpm安全优化 服务器优化2
weixin_31698627的博客
03-22 115
1、打开php安全模式php安全模式是个非常重要的php内嵌的安全机制,能够控制一些php中的函数执行,比如system(),同时把被很多文件操作的函数进行了权限控制。默认关闭,338行safe_mode=Off改为safe_mode=On2、用户组安全;Bydefault,SafeModedoesaUIDcomparecheckwhen;openingfile...
nginx + php-fpm fastcgi防止跨站、跨目录的安全设置
Debug_zhang的博客
02-26 1024
nginx + php-fpm fastcgi防止跨站、跨目录的安全设置 Posted on 2014-04-28 by wwek 我们知道apache php mod的方式可以很方便的配置 open_basedir 限制各个站点的目录访问权限nginx + php-fpm fastcgi的方式需要这样做。 首先php的版本必须大于等于php5.3.3。 总限制 通过php-
nginx-phpfpm-mysql-postgresql:Nginx PHP-FPM和MySQL安装和配置
05-16
然后它将打印nginx Web服务器已准备就绪,如果要使用php-fpm安装/配置MySQL或PostgreSQL,请从菜单中选择。 否则,只需按Enter键即可退出。 如果选择1 ,则将安装并配置带有扩展名MySQL和PHP-FPM(MySQL根密码为: ...
nginx-php-fpm:用于dockerhub构建的Nginxphp-fpm
02-02
请在上打开请求请求和问题 总览 这是一个Dockerfile / ... docker pull richarvey/nginx-php-fpm:latest 跑步 要简单地运行容器: sudo docker run -d richarvey/nginx-php-fpm 要在启动时从git动态提取代码: doc
安装配置php-fpm来搭建Nginx+PHP的生产环境
09-30
最后,重启Nginxphp-fpm服务,确保新配置生效。在生产环境中,通常还需要考虑日志监控、错误处理、安全设置、性能优化等细节,以保证系统的稳定性和高效性。 总结起来,搭建Nginx+PHP-FPM的生产环境需要以下几个...
Ubuntu18.10下nginxphp-fpm权限设置
weixin_33716154的博客
02-27 487
1# 查看nginx的用户信息 ps aux | grep nginx 复制代码 可以看到nginx的主进程是root,其余子进程均是www-data的用户 2# 查看php-fpm配置信息中的用户和组信息 cd /etc/php/7.2/fpm/pool.d/ sudo vim www.conf 复制代码 3# nginx配置 cd /etc/nginx/ sudo vim nginx.conf...
nginxphp-fpm的用户权限
weixin_34232744的博客
10-15 235
2019独角兽企业重金招聘Python工程师标准>>> ...
如何配置Nginx以支持PHP-FPM
最新发布
长风破浪会有时的博客
04-02 270
PHP-FPM是一个PHP FastCGI进程管理器,它的作用是帮助NginxPHP之间进行通信,使得Nginx能够处理PHP脚本。配置完成后,你需要重启NginxPHP-FPM以使配置生效。通常PHP-FPM安装后已经有一个默认配置,但你可以根据需要修改它。例如,你可以调整PHP-FPM进程的数量、内存限制等。为你的域名),你应该能看到PHP的信息页面,这表示Nginx已经成功配置为支持PHP-FPM了!接下来,我们将通过一个非常完整的实例代码来说明如何配置Nginx以支持PHP-FPM
php-fpm linux 权限,nginx/php-fpm及网站目录的权限设置
weixin_36333122的博客
03-09 842
核心总结:nginxphp-fpm 进程所使用的用户,不能是网站文件所有者。 凡是违背这个原则,则不符合最小权限原则。最佳实践:nginx 以nobody运行修改nginx.confuser nobody重启nginx服务器php-fpm 也以nobody运行编辑文件php-fpm.confuser nobodygroup nobody重启php-fpm网站目录设置为可读即可,某些需要写入权限的...
[转]php-fpm配置详解
heiyeluren的blog(黑夜路人的开源世界)
04-05 5057
php-fpm配置的各类介绍说明文档,值得参考学习
php fpm.conf 优化,php-fpm.conf & php.ini 安全优化实践
weixin_39855944的博客
04-07 186
0x01 关于 php其历史相对已经比较久远了,这里也就不废话了,属弱类型中一种解释型语言除了web开发以及写些简单的exp,暂未发现其它牛逼用途,暂以中小型web站点开发为主另外,低版本的php自身好在官方维护的一直比较勤奋,主次版本都迭代的比较快,最新版已经到7.2.0哼哼……是,'最好的语言'... ????0x02 此次演示环境CentOS6.8 x86_64 最小化,带基础库安装eth0:...
NginxPHP基本运行原理与fpm常见配置
qq_38483583的博客
07-09 1476
该选项可能会对 php.ini 设置中的 'max_execution_time' 因为某些特殊原因没有中止运行的脚本有用。可用单位:s(秒),m(分),h(小时)或者 d(天)。默认值:0(关闭)。可用单位:s(秒),m(分),h(小时)或者 d(天)。进程池可以工作于不同的 uid/gid/chroot 环境下,并监听不同的端口和使用不同的 php.ini 配置文件(可取代 safe_mode 的设置);可用格式为:'ip:port','port','/path/to/unix/socket'。
PHP基础知识】——详解nginxphp-fpm和mysql用户权限
dream_successor的专栏
11-23 1541
前言:通常情况下,我们运行web应用的服务器有CentOS、Ubuntu、Debian等等的Linux发行版本。这时候,构成服务架构所必须的Nginxphp和MySQL等应用的权限控制就显得非常重要,各个服务对代码目录的权限要求各不相同,缺少某些权限会造成服务无法读写或运行的错误,降低了权限要求又会存在被入侵修改的隐患。这里我们就来总结一下nginxphp-fpm和mysql等等这些服务的权限划分。
宝塔nginx配置php-fpm
02-25
下面是宝塔面板中配置NginxPHP-FPM的步骤: 1. 登录宝塔面板,进入服务器管理页面。 2. 在左侧导航栏中找到网站,点击进入网站列表页面。 3. 在网站列表页面中,找到需要配置的网站,点击右侧的设置按钮,选择...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值