本文介绍如何配置 Nginx 和 PHP-FPM 的 chroot 功能,将网站完全限制在一个特定目录内,增强系统安全性。包括修改 php-fpm.conf 文件、调整 nginx 配置、创建必要的目录及文件、修复域名解析和邮件发送功能。
nginx+php-fpm是现在配置php环境非常流行的组合之一。nginx以其并发能力强,轻巧,速度快而受到非常多人的青睐,php-fpm以其安全,处理php速度快而成为与nginx的最佳组合。php-fpm提供有一个非常重要的功能chroot,它可以把指定的网站完完全全限制在一个目录下,可以对系统和其它虚拟机起到很好的隔离效果,这对系统的安全无疑是加强了不少,下面介绍如何配置。
我们假设域名为www.centos.bz,网站根目录为/home/chroot/www.centos.bz/web,需要把此网站限制在/home/chroot/www.centos.bz。
1、php-fpm.conf配置
打开php-fpm.conf文件,把chroot更改为
- chroot = /home/chroot/www.centos.bz
2、nginx配置
我们上面把www.centos.bz站点限制在了/home/chroot/www.centos.bz,所以对于php-fpm,此网站根目录已经变成是/web,所以我们需要更改nginx传递给php-fpm的网站根目录地址。
找到
- fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
更改为
- fastcgi_param SCRIPT_FILENAME /web$fastcgi_script_name;
3、一些目录创建
- cd /home/chroot/www.centos.bz/
- mkdir -p tmp etc bin usr/sbin lib dev/
- mknod -m 0666 dev/null c 1 3
- mknod -m 0666 dev/random c 1 8
- mknod -m 0666 dev/urandom c 1 9
- mknod -m 0666 dev/zero c 1 5
- chmod 1777 tmp
4、修复解析
把www.centos.bz的php完全限制在一个目录下后,导致了php无法解析域名,以32位系统为例(64位库文件位置为lib64)下面是修复的步骤,
- cd /home/chroot/www.centos.bz/
- cp /etc/hosts /etc/resolv.conf /etc/nsswitch.conf etc/
- cp /lib/{ld-linux.so.2,libc.so.6,libdl.so.2,libnss_dns.so.2,libnss_files.so.2,libresolv.so.2,libtermcap.so.2} lib/
这样php就可以解析域名了。
5、修复sendmail功能
同样chroot目录后,就无法发送邮件了,我们这里使用mini_sendmail代为发送邮件。同样以32位系统为例。
- cd /home/chroot/www.centos.bz/
- cp -P /bin/bash /bin/sh bin
- cp /etc/passwd /etc/group etc
- cd /tmp
- wget http://www.acme.com/software/mini_sendmail/mini_sendmail-1.3.6.tar.gz
- tar xzf mini_sendmail-1.3.6.tar.gz
- cd mini_sendmail-1.3.6
- make
- cp mini_sendmail /home/chroot/www.centos.bz/usr/sbin/sendmail
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
