我们有一个服务器(在 Apache 上运行 PHP-FPM 7.4),托管各种脚本、框架和应用程序,如 DokuWiki。它已经发展成为一个相当复杂的系统。我们想应用一个open_basedir限制。仅设定最佳猜测open_basedir必然会导致问题。有没有办法找出实际需要的最小路径集?
open_basedir例如,如果某个限制可以不造成严重后果,这样它就会记录警告而不是错误,我们就可以监控这些。但我发现没有办法让 open_basedir 不造成严重后果。
答案1
open_basedir不能处于类似于 selinux “宽容模式” 的状态,在这种模式下,将被拒绝的访问会被记录下来,但实际上并没有被阻止。
我最好的建议是使用或strace查看openat系统调用。您可以在运行时通过以下命令执行此操作:httpdphp-fpm
strace -f -e openat -p "$(pidof httpd php-fpm)"
要将strace输出保存到文件,请添加-o /my/file.txt