我是 nginx + php-pfm 的新用户,但对安全性有点困惑。
例如,我正在运行几个具有不同 uid/gid 的池作为 TCP 套接字。因此,理论上任何本地 shell 用户都可以连接到 127.0.0.1 9000 或 9001 或任何其他 FPM 端口,并发送 php 代码以使用不同的 uid 执行?如何避免这种情况?(文件套接字不是一种选择)
答案1
您不能发送要执行的代码,只能发送要执行的文件路径。并且它必须可供运行 FPM 池的用户读取。因此,这个坏用户必须能够创建一个具有 FPM 读取权限的文件。