NGINX 和 PHP FPM - 使用 open_basedir 的常规设置和性能问题

我想配置一个 NGINX 服务器，它能够托管多个网站，这些网站彼此独立，因此vhosta无法从 访问文件vhostb。

我安装了全新的 Debian 7.5 服务器，并从默认的 Debian 包中安装了 NGINX 和 PHP FPM。

然后我将添加 2 个新用户vhosta，vhostb并将 NGINX webserver 用户添加www-data到每个用户的组中。

接下来我创建了以下目录结构。

   var/
    |---www/
    |---vhosta
         |---httpdocs (permissions 750 - owner: vhosta - group: vhosta)
    |---vhostb
         |---httpdocs (permissions 750 - owner: vhostb - group: vhostb)

我为每个虚拟主机配置了一个单独的 PHP FPM 池，以分离每个虚拟主机的 PHP 进程。配置如下（仅供参考vhosta）

[vhosta]
listen = /var/run/php5-fpm-vhosta.sock
user = vhosta
group = vhosta
listen.owner = vhosta
listen.group = vhosta

据我所知，此配置应vhosta与访问vhostb'shttpdocs 目录中的文件分开，因为vhosta没有对 httpdocs 文件夹的访问权限vhosta。我通过尝试在 中创建一个简单的 PHP 脚本来验证这一点vhosta，该脚本尝试访问 httpdocs 目录中的文件vhostb's。

到目前为止一切顺利。我安装了一个 PHP 应用程序 (CMS)，vhosta并使用 ApacheBench 进行了一些性能测试。

总体而言，一切都比使用 Apache2 运行得更顺畅、更快，最终我会得到以下结果。

Requests per second:    31.62 [#/sec] (mean)
Time per request:       316.209 [ms] (mean)
Time per request:       31.621 [ms] (mean, across all concurrent requests)
Transfer rate:          430.58 [Kbytes/sec] received

嗯，目前每秒 31.62 个请求对我来说已经足够了。

最后，我想将和vhosta的访问权限限制vhostb为目录子集，这样它们就无权访问其他世界可读的系统文件。我通过使用 PHP 指令 open_basedir 来实现这一点。

我已将以下内容添加到每个虚拟主机 PHP FPM 池（仅显示vhosta）

php_admin_value[open_basedir] = /var/www/vhosta/httpdocs/:/tmp/

这样做之后，vhosts 就不能访问 /etc/passwd 等文件了。我创建了一个简单的 PHP 脚本，用于验证 vhosts 是否无法访问配置目录之外的文件。

最后，我重复了性能测试并得到以下结果。

Requests per second:    11.82 [#/sec] (mean)
Time per request:       8460.087 [ms] (mean)
Time per request:       84.601 [ms] (mean, across all concurrent requests)
Transfer rate:          161.18 [Kbytes/sec] received

看来，向 PHP FPM 池添加 open_basedir 指令会导致性能大幅下降。与使用 Apache2 和 mod_php 的设置相比，访问时间和每秒请求量现在相当相似。

我的问题如下：

1. 我创建的设置是否可以被视为“安全”，以便各个虚拟主机无法相互访问？如果不是，那么最佳做法是什么？我遗漏了什么？

2. 为什么当我使用 open_basedir 时，性能会下降这么多？或者不使用 open_basedir 更安全，因为 /etc/passwd 之类的文件无论如何都是可读的？