php fpm www data,nginx - Web服务器运行在www-data:www-data的用户组及用户下,php程序应该设置到哪个用户组及用户,才能保证安全性?...

最新推荐文章于 2023-11-29 10:07:32 发布
最新推荐文章于 2023-11-29 10:07:32 发布
阅读量253 收藏
点赞数
文章标签: php fpm www data

就假如Nginx + PHP-FPM的组合好了,该如何设置PHP程序的用户组及用户,保证程序执行的安全性?

回复内容:

就假如Nginx + PHP-FPM的组合好了,该如何设置PHP程序的用户组及用户,保证程序执行的安全性?

单独设置个用户及用户组呗。php-fpm 和 Web 服务器的用户没什么关系的,只要能相互通信就可以了。不同的服务尽量使用独立的用户和用户组来运行,这样万一哪个服务出了问题对方也只能得到那个服务所使用的用户的权限而不太可能会牵连其它服务。

php-fpm 有个 php-fpm.d 文件夹(ubuntu 下 在pool.d),里面可以设置不同的运行配置给不同的程序。默认一般只有www.conf。也就是所有的 php 程序用里面的参数运行(这是单用户很危险的),包括用户,监听类型(port or socket),nginx 通过反代到具体的 port or socket。

建议:在php-fpm.d 下多几个类似 www.conf 配置文件,不同的端口或者套接字监听运行。使用不同的用户,程序也使用相应的用户,用户组。系统可以添加相应的用户,组。

PHP-FPM 以单独的用户(如 app)跑,最好每个网站都有一个单独的用户,网站相关的文件都属于该用户(app),权限740.

PHP-FPM 监听 Unix Socket, 所有者是 app, 权限 750.

Nginx 用默认的 www-data, 把 www-data 添加到与 app 同组。

这样 Nginx 就能读 app 的文件了,但不能写,其他用户不能读也不能写,同时也只有 Nginx 能向 PHP-FPM 发起请求。

PHP-FPM 可以随意读写网站相关的文件,WordPress 这类程序的自动升级等功能都没有问题。

只要保证你启动PHP服务的用户对PHP需要操作的文件有足够的权限即可,其他的权限统统设成最低。

如果是多个网站我建议还是分开php-fpm的配置,分别使用不同的组和用户,这样可以最大的保证安全性。

我的PHP-CGI是跑得www-data用户,so,PHP文件也是www-data用户,权限是644

本文原创发布php中文网,转载请注明出处,感谢您的尊重!

stratisplatform
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux 添加www用户,Linux把用户添加到组(www-data|sudo)
weixin_39614276的博客
04-29 2715
Post Views:149设置网站的根目录的用户和组为:www-datasudo chown -R www-data:www-data /var/www/html/sun@karat:/var/www$ ls -ltotal 4drwxr-xr-x 2 root root 4096 Jul 3 17:31 htmlsun@karat:/var/www$ sudo chown -R www-da...
修改php-fpmnginx运行用户
偶爱喝可乐
11-15 1万+
php)项目a是用test用户运行 nginxphp-fpmwww-data用户运行 (python)项目b是用test用户运行项目a通过php函数exec调用python脚本的接口造成了没有权限访问目录直接把项目b的权限切换为www-data可以执行,但是不便于开发,最好是把phpnginx、项目a、项目b都在一个用户、组下面。打个比方test是当前登录用户 修改nginx运行角色
linux下nginx默认使用www-data用户组
Mr番茄蛋的博客
05-23 5000
在配置nginx后新建php项目会发现即使是当前用户创建的文件也无法运行,原因是由于nginx的默认用户用户组www-data(在nginx.conf中配置)。这时需要我们对特定的文件进行拥有者修改 sudo chown -R www-data:www-data *** ***表示文件或文件夹 ...
php fpm www data,修改php-fpmnginx运行用户
weixin_36256447的博客
03-10 606
(php)项目a是用test用户运行nginxphp-fpmwww-data用户运行(python)项目b是用test用户运行项目a通过php函数exec调用python脚本的接口造成了没有权限访问目录直接把项目b的权限切换为www-data可以执行,但是不便于开发,最好是把phpnginx、项目a、项目b都在一个用户、组下面。打个比方test是当前登录用户修改nginx运行角色cd /e...
ubuntu 重启php fpm,Ubuntu 上 php-fpm 无法使用service 命令重启时
weixin_42499159的博客
03-16 436
root@localhost:/home/wwwroot/kklp# ps -aux | grep fpmroot 31775 0.0 0.4 374156 33656 ? Ss 09:06 0:00 php-fpm: master process (/etc/php/7.0/fpm/php-fpm.conf)www-data 32078 0.3 0.5 45...
配置nginx访问多个服务器静态文件(解决nginxwww-data用户访问sshfs挂载目录的权限问题)
旷古的寂寞的博客
08-27 1729
最近搭了一个双节点的服务,每个节点各自有静态文件目录,nginx访问这些静态目录就成了问题。当然我们可以搭建单独的文件服务器,但是那样成本太高了,接下来说一下当前场景的解决方案。 1. sshfs挂载静态文件目录 下面的挂载命令可以把多个其他服务器的media目录挂载到本地: mkdir /local_path/media_1/ sshfs remote_user@remote_host:/remote_path/media/ /local_path/media_1/ -o allow_other
安装配置php-fpm来搭建Nginx+PHP的生产环境
09-30
安装完成后,需要对php-fpm运行用户进行设置,通常设置为`www-data`或`nginx`,以确保Nginx能够正确访问PHP脚本。创建用户和组,然后修改`/usr/local/php/etc/php-fpm.conf`中的`user`和`group`字段。 接下来,...
PHP从5.3.28升级到5.3.29时Nginx出现502错误
12-19
3. 修改PHP-FPM配置,设置`listen.owner = www`,`listen.group = www`,`listen.mode = 0666`,确保Nginx(通常运行www-datawww组)有权限访问套接字文件。 4. 重启PHP-FPM服务,问题得到解决。 这个问题的...
Ubuntu Linux系统下轻松架设nginx+php服务器应用
09-16
在Ubuntu Linux系统中,搭建基于NginxWeb服务器是一个高效的选择,因为它以其高性能和低内存占用而闻名,尤其在处理静态内容和反向代理方面表现突出。与Apache相比,Nginx通常更适合高并发场景。以下是搭建Nginx+...
Linux下用Nginx作Perl程序服务器及其中Perl模块的配置
09-21
### Linux下用Nginx作为Perl程序服务器及Perl模块配置详解 #### 一、概述 在Linux环境下,利用Nginx作为Web服务器并配合Perl语言处理动态内容是一种实用且高效的技术方案。尤其对于那些需要高性能处理能力的应用...
服务器部署前端项目,并配置nginx
小目标
03-18 351
前言 前端给了我一个阿里云地址(git或http)和一个conf文件。 注意阿里云这个项目要让分配给自己权限才能拉取。 正文 第一步,处理这个地址 git下拉到本地 本地压缩为tar.gz 上传压缩文件到服务器服务器解压到指定目录下 git clone https://code.aliyun.com/cotx-front/cotxnetworks.prod.com.git 然后拉下来是一个文件夹: 要把它上传到linux服务器上的一个目录下。 这里以1.9测试环境为例,.conf文件都在/usr
docker 部署 nginx+php+mysql 环境
最新发布
weixin_43766229的博客
11-29 1353
记录一下docker部署web服务器流程。
Nginx入门笔记
jianfeng123123的博客
11-19 1873
代理通常用于在多个服务器之间分配负载,无缝地显示来自不同网站的内容,或者通过 HTTP 以外的协议将请求传递给应用服务器。压缩响应通常会显着减少传输数据的大小。然而,由于压缩在运行时发生,它还可以增加 相当大的处理开销,这会对性能产生负面影响 在向客户端发送响应之前,NGINX 会执行压 缩,但不会“压缩”已压缩的响应(例如,由代理的服务器)。当启用缓存时,NGINX 将响应保存在磁盘缓存中,并使用它们来响应客户端,而不必每次都为同一内容代理请求。
NGINX常用配置
NorthPollPenguin的博客
07-14 1146
user配置 nginx中user配置项的格式是 user www-data www-data; # user 用户用户组; # 或者省略用户组,此时默认使用与用户名同名的用户组 user www-data; # 坑:当用户www-data用户组不是www-data时,此时省略用户组会有问题 在服务器上查看运行nginx进程时,会发现主进程是root用户的身份运行,worker process则是以nginx中指定的用户运行 需要注意的问题: nginx配置完毕后,有时访问站点会返回403,也就是
linux下 nginx 初探之反向代理及虚拟目录
知行天下
04-24 842
本文是基本已经安装nginx的前提下,若是未安装 sudo aptitude install nginx 即可!一 反向代理配置文件默认是在 /etc/nginx/nginx.conf 最新nginx是通过include指令读取其他的配置文件 include /etc/nginx/conf.d/*.conf;include /etc/nginx/sites-enabled/*;我们不需要改变这个自...
授权www-data用户组
热门推荐
pang040328的专栏
03-25 2万+
php5-fpm默认属于www-data用户组,但是其权限很低,比如不能创建文件夹,所以需要对其授权 sudo chown -R www-data:www-data
Gentoo搭建Nginx+MySQL+PHP(fastcgi)环境教程
本文主要介绍了在Gentoo操作系统中如何一步步安装和配置Nginx、MySQL和PHP(fastcgi)环境。通过遵循这些步骤,你可以搭建一个强大的Web服务器平台,支持动态内容处理。 一、安装Nginx 在Gentoo中安装Nginx非常简单...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值