nginx php-fpm环境中chroot功能的配置使用方法_nginx

nginx+php-fpm是现在配置php环境非常流行的组合之一。nginx以其并发能力强,轻巧,速度快而受到非常多人的青睐,php-fpm以其安全,处理php速度快而成为与nginx的最佳组合。php-fpm提供有一个非常重要的功能chroot,它可以把指定的网站完完全全限制在一个目录下,可以对系统和其它虚拟机起到很好的隔离效果,这对系统的安全无疑是加强了不少,下面介绍如何配置。

我们假设域名为www.jb51.net,网站根目录为/home/chroot/www.jb51.net/web,需要把此网站限制在/home/chroot/www.jb51.net。

一、php-fpm.conf配置

打开php-fpm.conf文件,把chroot更改为chroot = /home/chroot/www.jb51.net

二、nginx配置

我们上面把www.jb51.net站点限制在了/home/chroot/www.jb51.net,所以对于php-fpm,此网站根目录已经变成是/web,所以我们需要更改nginx传递给php-fpm的网站根目录地址。
找到fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;,更改为fastcgi_param SCRIPT_FILENAME /web$fastcgi_script_name;

三、一些目录创建

复制代码 代码如下:

cd /home/chroot/www.jb51.net/
mkdir -p tmp etc bin usr/sbin lib dev/
mknod -m 0666 dev/null c 1 3
mknod -m 0666 dev/random c 1 8
mknod -m 0666 dev/urandom c 1 9
mknod -m 0666 dev/zero c 1 5
chmod 1777 tmp

四、修复解析

把www.jb51.net的php完全限制在一个目录下后,导致了php无法解析域名,以32位系统为例(64位库文件位置为lib64)下面是修复的步骤,

复制代码 代码如下:

cd /home/chroot/www.jb51.net/
cp /etc/hosts /etc/resolv.conf /etc/nsswitch.conf etc/
cp /lib/{ld-linux.so.2,libc.so.6,libdl.so.2,libnss_dns.so.2,libnss_files.so.2,libresolv.so.2,libtermcap.so.2}  lib/

这样php就可以解析域名了。

五、修复sendmail功能

同样chroot目录后,就无法发送邮件了,我们这里使用mini_sendmail代为发送邮件。同样以32位系统为例。

复制代码 代码如下:

cd /home/chroot/www.jb51.net/
cp -P /bin/bash /bin/sh bin
cp /etc/passwd /etc/group etc
cd /tmp
wget http://www.acme.com/software/mini_sendmail/mini_sendmail-1.3.6.tar.gz
tar xzf mini_sendmail-1.3.6.tar.gz
cd mini_sendmail-1.3.6
make
cp mini_sendmail /home/chroot/www.jb51.net/usr/sbin/sendmail

六、与禁用函数相比,Chroot有什么优点呢?

  禁用函数是针对整个PHP程序而言的,所有需要通过PHP程序进行解析的文件,都会受到禁用函数的设置。网站程序不同,那么有可能需要的函数不同,不同的虚拟主机无法单独设置。而Chroot可以根据不同的虚拟主机,进行特异化设置。对于需要使用特殊函数的程序,可以关闭Chroot,来保证网站程序的正常运转;程序不需要调用特殊的程序,就可以开启Chroot模式;如果只是要启用一个或两个特定的程序,你可以仿照如下的过程添加函数。比如说,当我们开启Chroot时,PHP程序是无法使用sendmail()函数来发信的,我们可以使用mini_sendmail替代sendmail来修复发信。

复制代码 代码如下:

cd /home/wwwroot/www.ixiqin.com/
cp -P /bin/bash /bin/sh bin
cp /etc/passwd /etc/group etc
cd /tmp
wget http://centos.googlecode.com/files/mini_sendmail-1.3.6.tar.gz
tar xzf mini_sendmail-1.3.6.tar.gz
cd mini_sendmail-1.3.6
make
cp mini_sendmail /home/wwwroot/www.ixiqin.com/usr/sbin/sendmail

以上代码,在/tmp目录下编译mini_sendmail,然后将生成的可执行文件复制到chroot后目录下相应位置,以保证发件系统的正常运行。

七、有什么需要注意的呢?

Tips One:Chroot模式下,各种探针,如雅黑探针将会失效,报错。

Tips Two:Chroot模式可用做在线shell模拟器,安全真实。

综合以上分析,我建议,与其使用死板的禁用函数,我们为什么不试试更加好用的Chroot。

时间: 2024-07-29 13:46:14

nginx php-fpm环境中chroot功能的配置使用方法_nginx的相关文章

云环境中SBS应用的动态资源调度方法研究

云环境中SBS应用的动态资源调度方法研究 东北大学  张涛 本文建立了一个SBS应用性能评价模型,并在该模型的基础上提出了SBS应用动态资源调度方法,该方法通过将静态的初始资源调度和动态的资源调度调整相结合,以动态适应用户访问行为的变化,保证SBS应用性能.为了解决SBS应用的初始资源调度问题,本文给出了满足SBS应用性能约束的初始资源调度问题的数学模型并分别提出了资源无限和有限两种情况下SBS应用的初始资源调度算法,以通过初始资源调度保证服务性能.为了解决SBS应用的动态资源调度问题,本文提出

Android开发中Launcher3常见默认配置修改方法总结

本文实例讲述了Android开发中Launcher3常见默认配置修改方法.分享给大家供大家参考,具体如下: Launcher概述 Launcher是开机完成后第一个启动的应用,用来展示应用列表和快捷方式.小部件等.Launcher作为第一个(开机后第一个启动的应用)展示给用户的应用程序,其设计的好坏影响到用户的体验,甚至影响用户购机的判断.所以很多品牌厂商都会不遗余力的对Launcher进行深度定制,如小米的MIUI.华为的EMUI等.Android默认的Launcher没有过多的定制,更加简洁

详细nginx多域名配置的方法_nginx

前言 Nginx强大的正则表达式支持,可以使server_name的配置变得很灵活,nginx多域名配置是在配置文件中建立多个server配置,在每个server配置中用server_name来对域名信息进行过滤. 实现方法如下: 举个例子,下面是一个conf文件: server { listen 80; server_name www.web1.com; #绑定域名 index index.htm index.html index.php; #默认文件 root /home/www.web1.

nginx环境中php-fpm php错误提示开启方法

通常情况下编辑php配置文件:php.ini error_reporting = E_ERROR display_errors = On 编辑php配置文件:  代码如下 复制代码 vi /etc/php.ini error_reporting = E_ERROR display_errors = On 因为我开启了php-fpm.所以,还要编辑 php-fpm.conf文件,把php_flag[display_errors]设为on:  代码如下 复制代码 vi php-fpm.conf ph

Nginx服务器中414错误和504错误的配置解决方法_nginx

414 Request-URI Too Large #客户端请求头缓冲区大小,如果请求头总长度大于小于128k,则使用此缓冲区, #请求头总长度大于128k时使用large_client_header_buffers设置的缓存区 client_header_buffer_size 128k; #large_client_header_buffers 指令参数4为个数,128k为大小,默认是8k.申请4个128k. large_client_header_buffers 4 128k; 当http

详解Nginx服务器中map模块的配置与使用_nginx

map指令使用ngx_http_map_module模块提供的.默认情况下,nginx有加载这个模块,除非人为的 --without-http_map_module. ngx_http_map_module模块可以创建变量,这些变量的值与另外的变量值相关联.允许分类或者同时映射多个值到多个不同值并储存到一个变量中,map指令用来创建变量,但是仅在变量被接受的时候执行视图映射操作,对于处理没有引用变量的请求时,这个模块并没有性能上的缺失.一. ngx_http_map_module模块指令说明ma

详解Nginx服务器的配置中开启文件Gzip压缩的方法_nginx

gzip(GNU- ZIP)是一种压缩技术.经过gzip压缩后页面大小可以变为原来的30%甚至更小,这样,用户浏览页面的时候速度会块得多.gzip的压缩页面需要浏览 器和服务器双方都支持,实际上就是服务器端压缩,传到浏览器后浏览器解压并解析.浏览器那里不需要我们担心,因为目前的巨大多数浏览器都支持解析gzip 过的页面. Nginx的压缩输出有一组gzip压缩指令来实现.相关指令位于http{-.}两个大括号之间. 下面大致讲一下配置开启gzip压缩的方法: 1.Vim打开Nginx配置文件 v

解决Excel中右键菜单中部分功能不可用的方法

我们知道对于计算机来说,所有的改动都要保存,如果不保存的话电脑是不会自动记忆用户做的改动的.Excel也一样,虽然它没有弹出保存提示,但实际上它已经在一个文件中写下了这个改动,这个文件就是"Excelxx.xlb". 在Excel2010中该文件名为 Excel14.xlb;如果是 Excel 2007,文件名则为 Excel12.xlb. 对于Windows7/Vista 操作系统,在地址栏中输入 C:UsersxxxAppDataRoamingMicrosoftExcel (这里的

能不能在网页中直接加上或自已开发一个与在开发环境中的ASP.NET配置一样的权限设置界面?

问题描述 如题. 解决方案 解决方案二:UP解决方案三:可以,你得把他权限相关的那个数据库copy出来,membership类解决方案四: 解决方案五:先谢daijun17的回复.在ASP20中,只提供membership和Role的编程方法,没有对目录的权限设置,即不能象配置中可以设置访问规则.