`
binyan17
  • 浏览: 203635 次
  • 性别: Icon_minigender_1
  • 来自: 重庆
社区版块
存档分类
最新评论

【转】Nginx——防止webshell跨目录

阅读更多

原文地址: http://www.itdhz.com/post-131.html

此文解决了我主机上多虚拟主机用户权限控制的大难题,特此收藏备用!

 

nginx为多用户多域名提供虚拟主机一直都是个问题.在php的执行上是采用fastcgi的方式运行的.php在fastcgi模式下虽然效率有很多提升,但是也暴露出一个问题,就是安全性问题.php以fastcgi方式运行一般是采用tcp或者socket方式,这两种方式本质上是一样的. 都是以同一个用户权限执行,这样在多用户多域名多网站的情况下就变得很糟糕,很容易形成跨站.被黑客利用的话,他就可以遍历整台服务器中php执行权限能 访问的地方,也就是多个网站的目录.原因就是因为fastcgi方式执行的php对每个目录指定的open_basedir是一样的.

下面简单介绍一种nginx下防止多站点之间跨目录访问的方法:对每个站点采用不同的fastcgi端口进行处理.

 

server
{
listen 80;
server_name www.itdhz.com;
index index.html index.htm index.php;
root /home/wwwroot/www;
#limit_conn crawler 20;

location ~ .*.(php|php5)?$
{
#fastcgi_pass unix:/tmp/php-cgi.sock;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
include fcgi.conf;
}
}

 我的另一个站点配置

 

 

server
{
listen 80;
server_name soft.itdhz.com;
index index.html index.htm index.php;
root /home/wwwroot/soft;
#limit_conn crawler 20;

location ~ .*.(php|php5)?$
{
#fastcgi_pass unix:/tmp/php-cgi.sock;
fastcgi_pass 127.0.0.1:9001;
fastcgi_index index.php;
include fcgi.conf;
}
}

 

 这里需要注意的是,fastcgi_pass unix:/tmp/php-cgi.sock 和 fastcgi_pass 127.0.0.1:9001 这是两种不同的处理方式,同时只能使用其中的一种,这里我们需要用到的是后面一种,把前面的注销掉。

 

cp /usr/local/php/etc/php-fpm.conf /usr/local/php/etc/www.conf
cp /usr/local/php/etc/php-fpm.conf /usr/local/php/etc/soft.conf

 在www.conf中找到php_defines,添加内容

 

<value name="”open_basedir”">/home/wwwroot/www:/tmp:/var/tmp</value>

在www.conf中找到listen_address,修改内容为
<value name=”listen_address”>127.0.0.1:9000</value>

在soft.conf中找到php_defines,添加内容
<value name="”open_basedir”">/home/wwwroot/soft:/tmp:/var/tmp</value>

在soft.conf中找到listen_address,修改内容为
<value name=”listen_address”>127.0.0.1:9001</value>

这里注意一下端口号,别设置错了,要和nginx.conf里面对应。

  3.修改 /usr/local/php/sbin/php-fpm启动脚本

默认的php-fpm(部分代码)是下面这样的:

 

php_fpm_BIN=/usr/local/php/bin/php-cgi
php_fpm_CONF=/usr/local/php/etc/php-fpm.conf
php_fpm_PID=/usr/local/php/logs/php-fpm.pid
php_opts="--fpm-config $php_fpm_CONF"
case $1 in
start)
$php_fpm_BIN --fpm $php_opts

   4.配置完成了,启动服务

 

/usr/local/php/sbin/php-fpm start
/usr/local/nginx/sbin/nginx -s reload

 开了9000 9001俩个不同的端口分开处理两个站点请求,两个php-cgi主进程加载不同的conf文件。 当然,启动之前记得conf里面的max_children,开启php-cgi子进程数,相应要减少一些,以免造成内存不足。

 

在写这篇文章的时候,我试了好几次都没有成功,主要原因是php-fpm启动脚本里面写错了。前面两步一般不会出问题,主要是第三步,如果启动不成功,多检查检查就会发现问题了。

 

分享到:
评论

相关推荐

    nginx虚拟主机防webshell完美版

    关于nginx虚拟主机防webshell的技术实现与配置,文章提供了对于多个虚拟主机在nginx中配置以及如何通过改变fastcgi_pass参数将不同网站的请求发送至不同的php-cgi端口来防止webshell的攻击。以下将详细说明相关知识...

    nginx-cookbook-recipes-high-performance

    《Nginx Cookbook: Recipes for High Performance》这本书聚焦于如何利用Nginx实现高性能的网络服务。Nginx是一款流行的开源Web服务器,以其高效的性能、反向代理、负载均衡和内容缓存等功能著称。本资源包含了一份...

    nginx.service——nginx开机自启动配置文件[CentOS 7.6 64位]

    nginx开机自启动配置文件,在[CentOS 7.6 64位]系统下运行正常。 编译安装nginx后,将该配置文件放在服务器的/usr/lib/systemd/system/目录下,然后启动nginx服务。

    Web应用安全:Nginx禁止目录列出配置实验.doc

    在本实验中,我们将学习如何在 Nginx 服务器上禁止目录列出配置,以防止目录遍历攻击。目录遍历攻击是一种常见的 Web 应用安全漏洞,攻击者可以通过该漏洞获取服务器上的敏感信息。 实验目的: * 熟悉 Nginx ...

    jks证书格式转换nginx使用格式

    由于生成的证书是jks格式,nginx不能直接用,需要要转成PEM格式,这要用到jks2pfx工具进行转换。 jks2pfx的命令格式:JKS2PFX.bat keystore password alias exportname keystore:KeyStore文件绝对路径 password:...

    Nginx——安装详解

    Nginx的安装需要四个依赖:gcc、pcre、zlib、openssl yum -y install gcc pcre pcre-devel zlib zlib-devel openssl openssl-devel ...安装nginx,进入nginx-1.14.2目录,执行如下命令 ./configure make make install

    解决vue项目nginx部署到非根目录下刷新空白的问题

    1、修改config/index.js 2、修改路由route/index ...以上这篇解决vue项目nginx部署到非根目录下刷新空白的问题就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持软件开发网。

    Nginx本地目录映射实现代码实例

    有时候需要访问服务器上的一些静态资源,比如挂载其他设备上的图片到本地的目录,而本地的目录不在nginx根目录下,这个时候就需要简单的做一下目录映射来解决,比如想通过浏览器... location /image/ { ...

    Web应用安全:Nginx禁止目录列出配置.pptx

    要防止目录遍历攻击,你需要修改Nginx的主配置文件`nginx.conf`。找到涉及"autoindex"的行,通常在server块或location块中,将"autoindex on"更改为"autoindex off"。这样就能禁用目录索引,防止攻击者通过URL直接...

    mac无坑安装nginx(csdn)————程序.pdf

    在Mac上安装Nginx的过程中,我们通常会借助Homebrew这一强大的包管理工具。Homebrew是Mac OS系统下的一个开源包管理器,它允许用户轻松地安装、管理和更新各种开源软件,包括Nginx。以下是详细的步骤: 1. **安装...

    目录树美化,nginx-autoindex美化,文件浏览器

    nginx autoindex美化,目录树美化,linux文件浏览器,不同的实现方式和样式,多种选择

    优化nginx大并发——轻松应对上万并发访问

    本文将详细探讨如何通过系统层面和Nginx配置层面的优化,使Nginx能够轻松应对上万甚至十万级别的并发访问。 首先,从系统层面进行优化: 1. **调整同时打开文件数量**:使用`ulimit -n`命令设置系统最大文件描述符...

    Nginx配置文件——一级域名、二级域名

    本文将深入探讨如何通过Nginx配置文件来设置一级域名和二级域名,以及如何利用Nginx的反向代理功能。 首先,了解一级域名和二级域名的概念至关重要。一级域名是互联网上顶级的域名,如.com、.org、.net等。二级域名...

    Nginx网站根目录更改及导致403 forbidden的问题解决

    最近因为工作需要,要将Nginx网站根目录更改下,通过网上的一些教程更改后,但发现测试的时候一直提示403 forbidden错误,后台通过一个朋友的提示也解决了,所以现在将详细的步骤分享给大家,有需要的朋友们可以参考...

    Nginx安装到指定目录.docx

    在Linux系统中,如果在安装Nginx时不指定目录,它将默认安装在/usr/local/nginx下。为了自定义安装路径,可以按照以下步骤操作: 1. **安装依赖**: 在大多数Linux发行版中,首先需要安装必要的编译依赖项。这些通常...

    docker里面nginx目录挂载启动失败

    标题中的问题“docker里面nginx目录挂载启动失败”涉及到Docker容器化技术中Nginx服务器的部署,尤其是关于容器的挂载目录设置和启动问题。这个问题的核心在于,尝试将宿主机上的目录挂载到Docker容器内的Nginx配置...

    NGINX下RTSP转RTMP

    标题:“NGINX下RTSP转RTMP”主要涉及的是在Windows操作系统上利用NGINX服务器实现RTSP视频流到RTMP协议的转换。这是一个常见的需求,因为RTSP(Real Time Streaming Protocol)虽然在某些场景下具有优势,但并非...

    隐藏窗口启动Nginx和PHP——Nginx1.14.2+php-VC15-x64+RunHiddenConsole+启动和停止脚本

    Nginx 1.14.2是该软件的一个特定版本,它包含了一系列的改进和优化,旨在提升性能和安全性。 其次,PHP(Hypertext Preprocessor)是一种开源的服务器端脚本语言,尤其适合Web开发,可以嵌入到HTML中。在这里,我们...

    nginx rtsp转rtmp推流到http播放的配置文件

    在`conf`目录下的文件就是Nginx的配置文件,通常名为`nginx.conf`。打开这个文件,我们需要添加RTMP模块的相关配置。 在`nginx.conf`文件中,你需要在http块或者server块内创建一个location块来定义RTMP服务器。...

    决战Nginx系统卷——高性能Web服务器详解与运维

     本书第一部分首先讲述了Nginx服务器的功能、模块管理和进程管理,然后讲述Nginx如何处理请求,在这个基础之上再认识Nginx提供的服务器的名字,Nginx服务器最大的焦点在于高并发和反向代理,在不多却足够使用的模块...

Global site tag (gtag.js) - Google Analytics