将 php-fpm 进程 chroot 到用户主目录

tag-icon tag-icon php-fpm
将 php-fpm 进程 chroot 到用户主目录

我正在将单个服务器上的每个网站从单个 PHP 实例移动(其中所有网站中的所有文件都归 apache 拥有,并且只安装了默认的 php 库而没有 php-fpm)...并且我正在为每个单独的网站安装一个 php-fpm 池。

我的目标是实现网站更好的安全性和分离性,最大的目标是一个网站中的 PHP 脚本无法访问另一个网站的 PHP 脚本。

我显然做错了什么。

我的环境:

  • CentOS 7
  • PHP 5.4.16
  • Apache 2.4.6

以下是 php-fpm 池配置文件的示例:

[root@host]# cat /etc/php-fpm.d/website1.com.conf 
    [website1.com]
    user = user1
    group = user1
    listen = /var/run/php-fpm/website1.com.sock
    listen.owner = user1
    listen.group = user1
    php_admin_value[disable_functions] = exec,passthru,shell_exec,system
    php_admin_flag[allow_url_fopen] = on
    php_admin_value[short_open_tag] = On
    pm = ondemand
    pm.max_children = 5
    pm.start_servers = 2
    pm.min_spare_servers = 1
    pm.max_spare_servers = 3
    chdir = /home/www/website1.com/

以下是 Apache 中对应的 vhost 文件:

[root@host]# cat /etc/httpd/conf.d/website1.com.conf 
        <VirtualHost *:80>
                ServerAdmin [email protected]
                ServerName website1.com
        ServerAlias www.website1.com
        DocumentRoot /home/www/website1.com/www
                <Directory "/home/www/website1.com/www">
                        Options Includes FollowSymLinks
                        AllowOverride All
                        Order allow,deny
                        Allow from all
                </Directory>
        ErrorLog /home/www/website1.com/logs/errors
        CustomLog /home/www/website1.com/logs/access_log common
                <FilesMatch "\.php$">
                        SetHandler "proxy:unix:///var/run/php-fpm/website1.com.sock|fcgi://website1.com/"
                </FilesMatch>

        </VirtualHost>

所有文件和文件夹均由 user1 独自拥有(组也设置为 user1)。

我在“网站 2”中有一个 PHP 脚本,它仍然可以访问“网站 1”的内容。“网站 2”的 php-fpm 池配置文件中的设置和“网站 2”Apache vhost 配置文件中的设置与网站 1 相同(除了不同的文件夹路径、主目录、chroot 等...)。

这是我的测试脚本,位于 /home/www/website2/www/ 并可通过 website2.com 域名访问:

<?php
$test = file_get_contents('/home/www/website1.com/www/wp-config.php');
echo $test;
#$files = scandir('/home/www');
#print_r($files);
?>

但是,这个脚本的输出有些出乎意料。我看不到 wp-config.php 的全部内容。相反,我看到的是文件中某个点之后的所有内容(如果您熟悉 wp-config.php,我可以看到该define('SECURE_AUTH_KEY','foo')条目之后的所有内容)。

为什么这个在“user2”下运行的测试脚本可以访问并回显“user1”目录中的 wp-config.php 的一些内容?我以为该chdir = /home/www/website1.com/指令可以阻止这种事情。

答案1

看来您已在 php-fpm 池配置中设置chdirchroot

chdir指令仅更改该池的 php 进程的工作目录;它不会在 chroot 中启动进程。

问题。

相关内容