`
icarusli
  • 浏览: 531071 次
  • 性别: Icon_minigender_1
  • 来自: 广州
社区版块
存档分类
最新评论

Nginx+PHP的虚拟主机目录权限控制的探究

    博客分类:
  • WEB
阅读更多

Nginx+PHP的虚拟主机目录权限控制的探究

Nginx的使用者最近越来越多,很多大型网站也都从Apache或其他平台迁移到了Nginx。但在我使用Nginx的过程中有个问题一直未得到解决,就是如何限制Nginx+PHP的目录权限。
我们知道,在Apache中可以很容易的对虚拟目录进行权限控制,如:
程序代码 程序代码

ServerAdmin xiaopb@live.com
DocumentRoot /usr/www/xpb/
ServerName www.xpb.cn:80
ServerAlias www.xpb.cn
ErrorLog logs/default-error_log
php_admin_value open_basedir “/tmp/:/usr/www/xpb/”

关键是后面的这句php_admin_value,这样就限制了php的操作目录仅限于/tmp/和/usr/www/xpb/这两个目录了。对于 Apache虚拟主机来说,这个设置十分有用,结合在php.ini中禁用一些php函数,几乎可以杜绝PHP木马对其他站点及系统的危害。我虽没专业做过Linux下的虚拟主机,但相信各大虚拟主机商也是这么做的。
看来对于Apache最好的办法还是使用“在php.ini中禁用一些危险的php函数和在Apache虚拟主机中配置php_admin_value”的方式来做虚拟主机的安全。
关于Nginx的配置文件,参考了很多资料,好像是不支持php_admin_value open_basedir,也就是Nginx暂时还没有 Apache的 php_myadmin_value这类的设置。如果用Nginx做虚拟主机,各用户之间的目录安全控制如何来做呢?网上很多人说,限制上传文件类型,做好程序安全不就行了么?对,对于自己的站点来说这样完全可以。但如果虚拟主机是给别人用的,又给予了FTP权限,总不能不让人上传php 文件吧。参考以上,如果用Nginx来做虚拟主机,目前看来安全的配置方法是:
1、用低权限账号运行Nginx。
2、在php.ini中禁用危险的函数。如:system,passthru,shell_exec,exec,popen,proc_open,chroot,scandir,chgrp,chown等,但禁止太多的函数可能对某些php程序的正常运行产生影响。
3、在php.ini中设置open_basedir,如:open_basedir = “/usr/local/webserver/nginx /html/www.xpb.cn_7da347bc1a9fd621/:/usr/local/webserver/nginx/html/www2.xpb.cn_7da347bc1a9fd621/”
4、各个虚拟主机用户放在不易于猜到的目录,如:www.xpb.cn_7da347bc1a9fd621、www2.xpb.cn_7da347bc1a9fd621
5、自己找一个php木马,自我测试服务器安全!
6、【2009年7月17日更新】据网上部分资料说,在运行spawn-fcgi 的时候带上参数 -d open_basedir 即可,例如:/usr /sbin/spawn-fcgi -a 127.0.0.1 -p 10080 -C 20 -u www -f “/usr/sbin/php-cgi -d open_basedir=/var/www/wwwroot/:/tmp/”
7、参见下面Rainy fox 给出的解决方案。
本方法由于时间原因暂时未做测试验证,大家可以尝试一下,如果可以,相对于以上的几条,应该是比较好的解决方案。
另外,暂时还未发现专门针对Nginx的虚拟主机管理软件,如果有知道的可以麻烦说下。
看来,在虚拟主机上还是Apache是王道,几乎所有的虚拟主机提供商的专业PHP虚拟主机仍然采用Apache。期待Nginx能够尽快完善这方面的功能设置!有更好解决方法的,也烦请告知。
顺便提示一下,并非用apache就安全,也并非用linux就安全。在windows下使用Apache,务必配置一下open_basedir ,甚至 Apache运行权限,因为默认Apache是以system权限运行的,如果站点一旦被上传木马,则会十分危险,当然Linux下的也要设置一下,相信熟悉linux的都应当熟悉,不再赘述。
引用内容 引用内容
以下引用自作者:Rainy fox 来源:http://www.key0.cn/
先来看两份配置文件的部分,只跟大家讲原理,省略了和主题无关的部分,请勿复制就用,明白了原理,就知道该怎么做了。
php.ini
; open_basedir, if set, limits all file operations to the defined directory
; and below. This directive makes most sense if used in a per-directory
; or per-virtualhost web server configuration file. This directive is
; *NOT* affected by whether Safe Mode is turned On or Off.
open_basedir = “/myserver/:/tmp/:/var/tmp/”
nginx.conf
http
{
server
{
listen 80;
server_name host1.com;
root /myserver/host1;
location ~ .*\.(php|php5)?$
{
#fastcgi_pass unix:/tmp/php-cgi.sock;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
include fcgi.conf;
}
}
server
{
listen 80;
server_name host2.com;
root /myserver/host2;
location ~ .*\.(php|php5)?$
{
#fastcgi_pass unix:/tmp/php-cgi.sock;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
include fcgi.conf;
}
}
server
{
listen 80;
server_name host3.com;
root /myserver/host3;
location ~ .*\.(php|php5)?$
{
#fastcgi_pass unix:/tmp/php-cgi.sock;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
include fcgi.conf;
}
}
}
配置的基本情况是 运行3个网站 host1.com host2.com host3.com ,php.ini的配置,限制php脚本只能在这三个网站目录的父目录 /myserver/ 下面执行。
这时候我们知道,如果在某一个站点上上传了一个php木马,那么这个木马将可以访问其他两个站点的文件。nignx 没有apache那样能够单独设置每个网站的php只能在本目录下访问的功能。这时候我们就要用一点取巧的办法了。
来看这个php.ini的配置。
open_basedir = “/myserver/:/tmp/:/var/tmp/”
其实这个路径也支持 (.) [一个点] 和 (..) [两个点],也就是当前目录、父目录。于是有下面的配置方法
open_basedir = “.:/tmp/:/var/tmp/” 把php文件限制在当前目录,的确,这样确实是访问不到别的两个网站的目录了,但是访问某些页面会出现 No input file specified. 。
为什么呢,因为上面的这个限制,当你运行或者引用了网站目录下的子目录(或者子目录的子目录….)里的php文件(假定为/myserver /host1/dir1/myphp.php),而这个子目录文件又要访问上级目录里的文件(/myserver/host1/config.php),这时候问题就来了,php.ini里设置了myphp.php只能访问该本级目录(/myserver/host1/dir1/)以下的文件,而不能访问 /myserver/host1下的直接文件,于是提示:No input file specified.
现在解决办法来了
再看两个配置文件:
下面的这个 /subX1/subX2/subX3/……….(N层) ,N为你网站上最底层的php文件嵌套级数,如果你网站最多有5级子目录下有php文件,那么就嵌套5层以上。
php.ini
; open_basedir, if set, limits all file operations to the defined directory
; and below. This directive makes most sense if used in a per-directory
; or per-virtualhost web server configuration file. This directive is
; *NOT* affected by whether Safe Mode is turned On or Off.
open_basedir = “../../…….(N层):/tmp/:/var/tmp/”
nginx.conf
http
{
server
{
listen 80;
server_name host1.com;
root /myserver/subA1/subA2/subA3/……….(N层)/host1;
location ~ .*\.(php|php5)?$
{
#fastcgi_pass unix:/tmp/php-cgi.sock;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
include fcgi.conf;
}
}
server
{
listen 80;
server_name host2.com;
root /myserver/subB1/subB2/subB3/……….(N层)/host2;
location ~ .*\.(php|php5)?$
{
#fastcgi_pass unix:/tmp/php-cgi.sock;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
include fcgi.conf;
}
}
server
{
listen 80;
server_name host3.com;
root /myserver/subC1/subC2/subC3/……….(N层)/host3;
location ~ .*\.(php|php5)?$
{
#fastcgi_pass unix:/tmp/php-cgi.sock;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
include fcgi.conf;
}
}
}
举例N等于5….运行,当访问最底层的php文件 /myserver/subA1/subA2/subA3/subA4/subA5/host1 /dir1/dir2/dir3/dir4/myphp.php,这个php文件所能访问的上级层到 /myserver/subA1/subA2 /subA3/subA4/subA5/host1,当访问 /myserver/subA1/subA2/subA3/subA4/subA5 /host1/myphp2.php 文件时候,它所能最多访问到的上级层 /myserver/subA1 ,不能跃出访问到其他站目录里的文件
这样就限制了该站目录下的php程序不能访问别的网站,而对自己网站的访问又充分不受限制。很简单,到此结束。
关于Nginx:
1、简介
Nginx (”engine x”) 是一个高性能的 HTTP 和 反向代理 服务器,也是一个 IMAP/POP3/SMTP 代理服务器。 Nginx 是由 Igor Sysoev 为俄罗斯访问量第二的 Rambler.ru 站点开发的,它已经在该站点运行超过四年半了。Igor 将源代码以类BSD许可证的形式发布。尽管还是测试版,但是,Nginx 已经因为它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名了。更多的请见官方wiki: http://wiki.codemongers.com/
2、 Nginx的优点
nginx做为HTTP服务器,有以下几项基本特性:
1) 处理静态文件,索引文件以及自动索引;打开文件描述符缓冲.
2) 无缓存的反向代理加速,简单的负载均衡和容错.
3) FastCGI,简单的负载均衡和容错.
4) 模块化的结构。包括gzipping, byte ranges, chunked responses, 以及 SSI-filter等filter。如
果由FastCGI或其它代理服务器处理单页中存在的多个SSI,则这项处理可以并行运行,而不需要相互等待。
5) 支持SSL 和 TLS SNI.
Nginx专为性能优化而开发,性能是其最重要的考量, 实现上非常注重效率 。它支持内核Poll模型,能经受高负载的考验, 有报告表明能支持高达 50,000 个并发连接数。
Nginx 具有很高的稳定性。其它HTTP服务器,当遇到访问的峰值,或者有人恶意发起慢速连接时,也很可能会导致服务器物理内存耗尽频繁交换,失去响应,只能重启服务器。例如当前apache一旦上到200个以上进程,web响应速度就明显非常缓慢了。而Nginx采取了分阶段资源分配技术,使得它的CPU与内存占用率非常低。nginx官方表示保持10,000个没有活动的连接,它只占2.5M内存,所以类似DOS这样的攻击对nginx来说基本上是毫无用处的。就稳定性而言, nginx比lighthttpd更胜一筹。
Nginx支持热部署。它的启动特别容易, 并且几乎可以做到7*24不间断运行,即使运行数个月也不需要重新启动。你还能够在不间断服务的情况下,对软件版本进行进行升级。
Nginx采用master-slave模型, 能够充分利用SMP的优势,且能够减少工作进程在磁盘I/O的阻塞延迟。当采用select()/poll()调用时,还可以限制每个进程的连接数。
Nginx 代码质量非常高,代码很规范, 手法成熟, 模块扩展也很容易。特别值得一提的是强大的Upstream与Filter链。 Upstream为诸如 reverse proxy, 与其他服务器通信模块的编写奠定了很好的基础。而Filter链最酷的部分就是各个filter不必等待前一个 filter执行完毕。它可以把前一个filter的输出做为当前filter的输入,这有点像Unix的管线。这意味着,一个模块可以开始压缩从后端服务器发送过来的请求,且可以在模块接收完后端服务器的整个请求之前把压缩流转向客户端。
Nginx采用了一些os提供的最新特性如对sendfile (Linux 2.2+),accept-filter (FreeBSD 4.1+),TCP_DEFER_ACCEPT (Linux 2.4+) 的支持,从而大大提高了性能。
来自:http://www.xpb.cn/blog/665.html
相关评论:
网上有nginx虚拟主机防webshell 完美版文章 也是用的AngelStar的方法 多设置php-fpm即可解决
用phpinfo()可以查看到open_basedir的值,这样就暴露了各个虚拟主机的路径了。又或者某个网站程序刚好出错,刚好显示出路径,也会暴露了。
看来phpinfo()也要禁用。

 

 

http://bbs.phpchina.com/thread-170680-1-1.html
可以参考此贴

分享到:
评论

相关推荐

    Web环境搭建:Linux+Nginx+PHP+Mysql+Redis

    ### Web环境搭建:Linux+Nginx+PHP+MySQL+Redis #### 一、环境概述与推荐版本 在构建一个高效且稳定的商城系统时,选择合适的Web环境至关重要。本指南将介绍一套广泛应用于电商平台的技术栈——**Ubuntu + PHP + ...

    CentOS7 自动化搭建Nginx+PHP7+Mysql+Docker+Docker-Compose Shell脚本

    CentOS7 自动化搭建Nginx+PHP7+Mysql+Docker+Docker-Compose Shell脚本,Docker version 18.06.1-ce,docker-compose version 1.22.0

    Nginx+Uwsgi+Django+Vue部署

    Nginx+Uwsgi+Django(python3)+Vue部署,一步步实现。网上找了N多篇文章都没成功,特意记录,以免其他同学踩坑

    Linux实验-自动部署Nginx+PHP服务器.rar

    然后,创建一个简单的phpinfo.php文件,上传到Nginx的默认根目录`/var/www/html`,通过浏览器访问`http://your_server_ip/phpinfo.php`,如果能正确显示phpinfo页面,表示部署成功。 **四、shell脚本自动化部署** ...

    linux+nginx+php+mysql环境配置指南.pdf

    "Linux+Nginx+PHP+MySQL环境配置指南" 本指南将指导您如何安装和配置 Linux+Nginx+PHP+MySQL 环境,以便于构建一个功能完善的 Web 服务器。 安装 Red Hat Linux 在开始安装 Linux 之前,需要选择语言和键盘布局。...

    Win+Nginx+PHP+MySQL环境搭建.docx

    Win+Nginx+PHP+MySQL 环境搭建 Win+Nginx+PHP+MySQL 环境搭建是指在 Windows 操作系统上安装和配置 Nginx、PHP、MySQL 等组件,以便搭建一个完整的 Web 服务器环境。该环境搭建主要涉及到 Nginx、PHP、MySQL 三个...

    docker-compose php7.3.4-fpm+nginx+mysql配置

    docker-compose php7.3.4-fpm+nginx+mysql配置

    nginx+php-fpm解决502 Bad Gateway.zip

    nginx+php-fpm解决502 Bad Gateway.zip

    nginx+php+mysql资源集.rar

    nginx+php+mysql资源集 包含: php-7.1.8.tar.gz mysql-5.6.42.tar.gz nginx-1.8.1.tar.gz libxml2-2.9.1.tar.gz openssl-1.1.0e.tar.gz zlib-1.2.7.tar.gz 有没有一种痛苦的经历,为了配置nginx+php+mysql环境 在...

    Nginx+KeepAlived+Tomcat负载架构

    ### Nginx+KeepAlived+Tomcat负载架构详解 #### 一、概述 随着互联网应用的日益增多,单一服务器已经难以满足高并发、高可用性的需求。因此,越来越多的企业开始采用集群技术来提高系统的稳定性和扩展性。本文将...

    Nginx+RTMP 推拉流集群方案

    Nginx+RTMP推拉流集群方案是一种流行的视频直播技术架构,它通过结合Nginx Web服务器和RTMP(Real Time Messaging Protocol)流媒体传输协议来实现网络视频直播的推送和接收功能。RTMP协议由Adobe公司开发,主要用于...

    wnmp-nginx+php+mysql

    这是nginx+php+mysql的本地windows测试环境 在u盘运行的web环境有usbwebserver,但是apache配置https没有nginx方便, 使用方式: start.bat启动 stop.bat停止 restart.bat重启

    Windows+Nginx+PHP7安装配置

    Windows+Nginx+PHP7安装配置 在本文中,我们将详细介绍如何在Windows环境下安装和配置Nginx和PHP7,从而实现一个完美的PHP开发环境。本文将从头到尾详细介绍安装和配置的每一个步骤,使您能够快速解决问题,并少走...

    Nginx+Keepalived 主备集群拓扑图

    Nginx+Keepalived 组网主备集群网络拓扑图,欢迎下载

    Nginx+keepalived+tomcat实现性负载均衡(包含需要的包)

    在构建高性能、高可用性的Web服务时,使用Nginx+keepalived+tomcat的组合可以实现强大的负载均衡和故障转移功能。这个方案的核心思想是利用Nginx作为前端反向代理服务器,通过keepalived来确保服务的高可用性,并将...

    Nginx+keepalived双机热备(主从模式)

    Nginx+keepalived双机热备(主从模式) Nginx+keepalived双机热备(主从模式)是一种常见的负载均衡技术,用于实现高可用环境和故障转移。该技术通过将Nginx与keepalived结合,实现了前端负载均衡和高可用性。 ...

    Php+Nginx+Sqlite3精简绿色版

    《构建轻量级Web服务:Php+Nginx+Sqlite3精简绿色版详解》 在互联网技术日新月异的今天,对于个人开发者或小型项目来说,搭建一个高效、简洁且易于管理的Web服务器环境至关重要。"Php+Nginx+Sqlite3精简绿色版"就是...

    ffmpeg+nginx+nginx-rtmp-module搭建个人直播平台

    ffmpeg+nginx+nginx-rtmp-module搭建个人直播平台。 使用说明(ffmpeg+nginx+rtmp-module已经整合,支持HTTP,具体配置查看conf/nginx.conf): 1.解压后,运行nginx_start.bat。(查看监控状态 ...

Global site tag (gtag.js) - Google Analytics