PHP-FPM/Nginx безопасность в общей среде хостинга (Debian / Ubuntu)

Рейтинг:  0 / 5

Звезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активна
 

UbuntuЕсли Вы хотите использовать Nginx и PHP-FPM для среды виртуального хостинга, Вы должны составить свое мнение о безопасности. В среде Apache / PHP, Вы можете использовать Suexec и / или suPHP, чтобы выполнить PHP под отдельной учетной записью пользователя, а не пользователя системы, как www-data. Там нет такого понятия, для PHP-FPM, но, к счастью PHP-FPM позволяет создать "пул" для каждого веб-сайта, который делает PHP-скрипты выполняемыми как пользователь / группы, определенного в этом пуле. Это дает Вам все преимущества suPHP, и в дополнение к этому у Вас нет какой-либо FTP или SCP проблемы перевода, поскольку PHP-скрипты не должны находиться в собственности конкретного пользователя / группы, которая будет выполнена, как пользователь / группа, определяемая в пуле. Я не даю никаких гарантий, что это будет работать для Вас!

Предварительные замечания

Я использую виртуальный хост называется www.example.com / example.com здесь с корнем в каталоге /var/www/www.example.com/web.

Вы должны иметь работающий LEMP установки, как показано на эти учебники:

Примечание для пользователей Ubuntu:

В этом учебнике мы должны выполнить все шаги с привилегиями суперпользователя (root), мы можем сделать это либо предварять все команды в этом руководстве со строкой sudo, или мы становимся root прямо сейчас, введя:

  • sudo su

Что мы имеет?

Каталог Debian / Ubuntu, PHP-FPM является /etc/php5/fpm/pool.d/ - здесь будут созданы новые пулы . php.ini используется PHP-FPM это /etc/php5/fpm/php.ini . Там уже имеется один пул www.conf - давайте смотреть на это:

  • nano /etc/php5/fpm/pool.d/www.conf
; Start a new pool named 'www'.
; the variable $pool can we used in any directive and will be replaced by the
; pool name ('www' here)
[www]

; Per pool prefix
; It only applies on the following directives:
; - 'slowlog'
; - 'listen' (unixsocket)
; - 'chroot'
; - 'chdir'
; - 'php_values'
; - 'php_admin_values'
; When not set, the global prefix (or /usr) applies instead.
; Note: This directive can also be relative to the global prefix.
; Default Value: none
;prefix = /path/to/pools/$pool

; The address on which to accept FastCGI requests.
; Valid syntaxes are:
;   'ip.add.re.ss:port'    - to listen on a TCP socket to a specific address on
;                            a specific port;
;   'port'                 - to listen on a TCP socket to all addresses on a
;                            specific port;
;   '/path/to/unix/socket' - to listen on a unix socket.
; Note: This value is mandatory.
listen = 127.0.0.1:9000

; Set listen(2) backlog. A value of '-1' means unlimited.
; Default Value: 128 (-1 on FreeBSD and OpenBSD)
;listen.backlog = -1

; List of ipv4 addresses of FastCGI clients which are allowed to connect.
; Equivalent to the FCGI_WEB_SERVER_ADDRS environment variable in the original
; PHP FCGI (5.2.2+). Makes sense only with a tcp listening socket. Each address
; must be separated by a comma. If this value is left blank, connections will be
; accepted from any ip address.
; Default Value: any
;listen.allowed_clients = 127.0.0.1

; Set permissions for unix socket, if one is used. In Linux, read/write
; permissions must be set in order to allow connections from a web server. Many
; BSD-derived systems allow connections regardless of permissions.
; Default Values: user and group are set as the running user
;                 mode is set to 0666
;listen.owner = www-data
;listen.group = www-data
;listen.mode = 0666

; Unix user/group of processes
; Note: The user is mandatory. If the group is not set, the default user's group
;       will be used.
user = www-data
group = www-data

; Choose how the process manager will control the number of child processes.
; Possible Values:
;   static  - a fixed number (pm.max_children) of child processes;
;   dynamic - the number of child processes are set dynamically based on the
;             following directives:
;             pm.max_children      - the maximum number of children that can
;                                    be alive at the same time.
;             pm.start_servers     - the number of children created on startup.
;             pm.min_spare_servers - the minimum number of children in 'idle'
;                                    state (waiting to process). If the number
;                                    of 'idle' processes is less than this
;                                    number then some children will be created.
;             pm.max_spare_servers - the maximum number of children in 'idle'
;                                    state (waiting to process). If the number
;                                    of 'idle' processes is greater than this
;                                    number then some children will be killed.
; Note: This value is mandatory.
pm = dynamic

; The number of child processes to be created when pm is set to 'static' and the
; maximum number of child processes to be created when pm is set to 'dynamic'.
; This value sets the limit on the number of simultaneous requests that will be
; served. Equivalent to the ApacheMaxClients directive with mpm_prefork.
; Equivalent to the PHP_FCGI_CHILDREN environment variable in the original PHP
; CGI.
; Note: Used when pm is set to either 'static' or 'dynamic'
; Note: This value is mandatory.
pm.max_children = 50

; The number of child processes created on startup.
; Note: Used only when pm is set to 'dynamic'
; Default Value: min_spare_servers + (max_spare_servers - min_spare_servers) / 2
;pm.start_servers = 20

; The desired minimum number of idle server processes.
; Note: Used only when pm is set to 'dynamic'

; Note: Mandatory when pm is set to 'dynamic'
pm.min_spare_servers = 5

; The desired maximum number of idle server processes.
; Note: Used only when pm is set to 'dynamic'
; Note: Mandatory when pm is set to 'dynamic'
pm.max_spare_servers = 35

; The number of requests each child process should execute before respawning.
; This can be useful to work around memory leaks in 3rd party libraries. For
; endless request processing specify '0'. Equivalent to PHP_FCGI_MAX_REQUESTS.
; Default Value: 0
;pm.max_requests = 500

; The URI to view the FPM status page. If this value is not set, no URI will be
; recognized as a status page. By default, the status page shows the following
; information:
;   accepted conn        - the number of request accepted by the pool;
;   pool                 - the name of the pool;
;   process manager      - static or dynamic;
;   idle processes       - the number of idle processes;
;   active processes     - the number of active processes;
;   total processes      - the number of idle + active processes.
;   max children reached - number of times, the process limit has been reached,
;                          when pm tries to start more children (works only for
;                          pm 'dynamic')
; The values of 'idle processes', 'active processes' and 'total processes' are
; updated each second. The value of 'accepted conn' is updated in real time.
; Example output:
;   accepted conn:        12073
;   pool:                 www
;   process manager:      static
;   idle processes:       35
;   active processes:     65
;   total processes:      100
;   max children reached: 1
; By default the status page output is formatted as text/plain. Passing either
; 'html' or 'json' as a query string will return the corresponding output
; syntax. Example:
;   http://www.foo.bar/status
;   http://www.foo.bar/status?json
;   http://www.foo.bar/status?html
; Note: The value must start with a leading slash (/). The value can be
;       anything, but it may not be a good idea to use the .php extension or it
;       may conflict with a real PHP file.
; Default Value: not set
;pm.status_path = /status

; The ping URI to call the monitoring page of FPM. If this value is not set, no
; URI will be recognized as a ping page. This could be used to test from outside
; that FPM is alive and responding, or to
; - create a graph of FPM availability (rrd or such);
; - remove a server from a group if it is not responding (load balancing);
; - trigger alerts for the operating team (24/7).
; Note: The value must start with a leading slash (/). The value can be
;       anything, but it may not be a good idea to use the .php extension or it
;       may conflict with a real PHP file.
; Default Value: not set
;ping.path = /ping

; This directive may be used to customize the response of a ping request. The
; response is formatted as text/plain with a 200 response code.
; Default Value: pong
;ping.response = pong

; The timeout for serving a single request after which the worker process will
; be killed. This option should be used when the 'max_execution_time' ini option
; does not stop script execution for some reason. A value of '0' means 'off'.
; Available units: s(econds)(default), m(inutes), h(ours), or d(ays)
; Default Value: 0
;request_terminate_timeout = 0

; The timeout for serving a single request after which a PHP backtrace will be
; dumped to the 'slowlog' file. A value of '0s' means 'off'.
; Available units: s(econds)(default), m(inutes), h(ours), or d(ays)
; Default Value: 0
;request_slowlog_timeout = 0

; The log file for slow requests
; Default Value: not set
; Note: slowlog is mandatory if request_slowlog_timeout is set
;slowlog = log/$pool.log.slow

; Set open file descriptor rlimit.
; Default Value: system defined value
;rlimit_files = 1024

; Set max core size rlimit.
; Possible Values: 'unlimited' or an integer greater or equal to 0
; Default Value: system defined value
;rlimit_core = 0

; Chroot to this directory at the start. This value must be defined as an
; absolute path. When this value is not set, chroot is not used.
; Note: you can prefix with '$prefix' to chroot to the pool prefix or one
; of its subdirectories. If the pool prefix is not set, the global prefix
; will be used instead.
; Note: chrooting is a great security feature and should be used whenever
;       possible. However, all PHP paths will be relative to the chroot
;       (error_log, sessions.save_path, ...).
; Default Value: not set
;chroot =

; Chdir to this directory at the start.
; Note: relative path can be used.
; Default Value: current directory or / when chroot
chdir = /

; Redirect worker stdout and stderr into main error log. If not set, stdout and
; stderr will be redirected to /dev/null according to FastCGI specs.
; Note: on highloaded environement, this can cause some delay in the page
; process time (several ms).
; Default Value: no
;catch_workers_output = yes

; Pass environment variables like LD_LIBRARY_PATH. All $VARIABLEs are taken from
; the current environment.
; Default Value: clean env
;env[HOSTNAME] = $HOSTNAME
;env[PATH] = /usr/local/bin:/usr/bin:/bin
;env[TMP] = /tmp
;env[TMPDIR] = /tmp
;env[TEMP] = /tmp

; Additional php.ini defines, specific to this pool of workers. These settings
; overwrite the values previously defined in the php.ini. The directives are the
; same as the PHP SAPI:
;   php_value/php_flag             - you can set classic ini defines which can
;                                    be overwritten from PHP call 'ini_set'.
;   php_admin_value/php_admin_flag - these directives won't be overwritten by
;                                     PHP call 'ini_set'
; For php_*flag, valid values are on, off, 1, 0, true, false, yes or no.

; Defining 'extension' will load the corresponding shared extension from
; extension_dir. Defining 'disable_functions' or 'disable_classes' will not
; overwrite previously defined php.ini values, but will append the new value
; instead.

; Note: path INI options can be relative and will be expanded with the prefix
; (pool, global or /usr)

; Default Value: nothing is defined by default except the values in php.ini and
;                specified at startup with the -d argument
;php_admin_value[sendmail_path] = /usr/sbin/sendmail -t -i -f Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.
;php_flag[display_errors] = off
;php_admin_value[error_log] = /var/log/fpm-php.www.log
;php_admin_flag[log_errors] = on
;php_admin_value[memory_limit] = 32M

Как видите, этот пул, который слушает порт 9000 на localhost ( 127.0.0.1 ), и он был запущен в качестве пользователя и группы www-data.

Важной частью является строка fastcgi_pass 127.0.0.1:9000; - это дает возможность Nginx пройти PHP запросы к PHP-FPM на порту 9000 на localhost системе ( 127.0.0.1 ) - как вы помните, это наш пул, определенные в /etc/php5/fpm/pool.d/www.conf что означает PHP скрипты выполняются, как пользователю и группе www-data.

Определение Индивидуальный бассейн для каждого сайта

Мой сайт example.com является собственностью пользователя web1 и группа client0, поэтому я хочу, чтобы мои PHP скрипт, выполняться от имени этого пользователя и группы. Поэтому я определяю новый пул /etc/php5/fpm/pool.d/example.com.conf:

  • nano /etc/php5/fpm/pool.d/example.com.conf
[example.com]

listen = 127.0.0.1:9001

listen.allowed_clients = 127.0.0.1

user = web1
group = client0

pm = dynamic
pm.max_children = 50
pm.start_servers = 20
pm.min_spare_servers = 5
pm.max_spare_servers = 35

chdir = /

Как видите, я делаю этот пул прослушиваемым портом 9001 вместо 9000, и я определяю как пользователь web1 и группы в client0. Вы можете определить несколько пулов, как Вам понравится, но убедитесь, что Вы используете неиспользуемый порт для каждого пула ( 9002 , 9003 и др.).

Перезагрузить PHP-FPM:

  • /etc/init.d/php5-fpm reload

Сейчас мы изменяем наши виртуальные хосты конфигурации, чтобы использовать новый пул. Все, что Вам нужно изменить это порт в fastcgi_pass строки:

  • nano /etc/nginx/sites-available/example.com.vhost
server {
[...]
        location ~ \.php$ {
            try_files $uri =404;
            fastcgi_pass 127.0.0.1:9001;
            fastcgi_index index.php;
            fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
            fastcgi_param PATH_INFO $fastcgi_script_name;
            include /etc/nginx/fastcgi_params;
        }
[...]
}

Впоследствии перезагрузим Nginx:

  • /etc/init.d/nginx reload

Вот и все! PHP-скрипты в настоящее время выполняется как пользователь web1 и группа client0.

Вы можете сделать PHP еще более безопасным, изменив настройки PHP индивидуально для каждого виртуальный хоста. Посмотрите на нижнюю часть /etc/php5/fpm/pool.d/www.conf, она имеет некоторые примеры того, как этого добиться.

Например, можно настроить open_basedir или disable_functions в /etc/php5/fpm/pool.d/example.com.conf пуле.

  • vi /etc/php5/fpm/pool.d/example.com.conf
[example.com]

listen = 127.0.0.1:9001

listen.allowed_clients = 127.0.0.1

user = web1
group = client0

pm = dynamic
pm.max_children = 50
pm.start_servers = 20
pm.min_spare_servers = 5
pm.max_spare_servers = 35

chdir = /

php_admin_value[open_basedir] = /var/www/www.example.com:/usr/share/php5:/tmp:/usr/share/phpmyadmin:/etc/phpmyadmin:/var/lib/phpmyadmin
php_admin_value[disable_functions] = dl,exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source

Перезагрузить PHP-FPM:

  • /etc/init.d/php5-fpm reload

Использование Sockets вместо TCP подключения

До сих пор мы использовали TCP соединений для нашего PHP-FPM пула ( 127.0.0.1:9000 , 127.0.0.1:9001 и т.д.). Это вызывает некоторые накладные расходы. К счастью, мы можем использовать сокеты Unix вместо TCP соединения для наших пулов и избавиться от этих издержек. Таким образом, Unix сокеты более мощные, чем соединения TCP.

Мы должны создать этот каталог первым:

  • mkdir /var/run/php5-fpm

Для использования сокетов Unix, мы просто меняем listen строку в нашем пуле, закомментируйте или удалите listen.allowed_clients строку (имеет смысл только для соединений TCP), и добавить строку listen.owner (определяет владелец сокета) , listen.group (определяет группу сокет), и listen.mode (определяет права доступа сокета):

  • nano /etc/php5/fpm/pool.d/example.com.conf
[example.com]

listen = /var/run/php5-fpm/example.com.sock

;listen.allowed_clients = 127.0.0.1
listen.owner = web1
listen.group = client0
listen.mode = 0660

user = web1
group = client0

pm = dynamic
pm.max_children = 50
pm.start_servers = 20
pm.min_spare_servers = 5
pm.max_spare_servers = 35

chdir = /

Впоследствии перезагрузим PHP-FPM:

  • /etc/init.d/php5-fpm reload

Взгляните на /var/run/php5-fpm каталог:

  • ls -l /var/run/php5-fpm

Вы должны найти сокет example.com.sock там с разрешениями 0660, принадлежащий пользователю web1 и группа client0:

root@server1:~# ls -l /var/run/php5-fpm
total 0
srw-rw---- 1 web1 client0 0 2011-09-21 11:08 example.com.sock
root@server1:~#

Наконец, мы должны изменить fastcgi_pass строку в нашем Nginx виртуальном хосте для fastcgi_pass unix:/var/run/php5-fpm/example.com.sock; :

  • nano /etc/nginx/sites-available/example.com.vhost
server {
[...]
        location ~ \.php$ {
            try_files $uri =404;
            fastcgi_pass unix:/var/run/php5-fpm/example.com.sock;
            fastcgi_index index.php;
            fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
            fastcgi_param PATH_INFO $fastcgi_script_name;
            include /etc/nginx/fastcgi_params;
        }
[...]
}

Перезагрузить Nginx:

  • /etc/init.d/nginx reload

Вот и все!


Обмениваться, хранить, передавать Ваши файлы стало просто как никогда.
yandex-disk

Читать подробнее: для чего Yandex-Диск проекту Mini-Server. Практика установки, настройки и использования сетевого хранилища на Ubuntu server LTS 12.04 в статье Резервное копирование сервера Ubuntu на Яндекс Диск.

>> Ubuntu 12.04 + Nginx Скачать сервер
>> Fedora 15 Скачать сервер
>> Простой Debian 6.0.6 Скачать сервер
>> CentOS 6.0 и
+ (5.6) другой
Скачать сервер
>> OpenSUSE 11.4
MAX
Скачать сервер

Вход на сайт

ВНИМАНИЕ!

Регистрация на сайте только по согласованию с администратором ресурса. Обращаться через форму обратной связи.