php-fpm chroot功能的使用-阿里云开发者社区

开发者社区> 开发与运维> 正文

php-fpm chroot功能的使用

简介:

        nginx+php-fpm是现在配置php环境非常流行的组合之一。nginx以其并发能力强,轻巧,速度快而受到非常多人的青睐,php-fpm以其安全,处理php速度快而成为与nginx的最佳组合。php-fpm提供有一个非常重要的功能chroot,它可以把指定的网站完完全全限制在一个目录下,可以对系统和其它虚拟机起到很好的隔离效果,这对系统的安全无疑是加强了不少,下面介绍如何配置。

我们假设域名为www.centos.bz,网站根目录为/home/chroot/www.centos.bz/web,需要把此网站限制在/home/chroot/www.centos.bz。
 
1、php-fpm.conf配置
打开php-fpm.conf文件,把chroot更改为
 

  1. chroot = /home/chroot/www.centos.bz 
 
2、nginx配置
我们上面把www.centos.bz站点限制在了/home/chroot/www.centos.bz,所以对于php-fpm,此网站根目录已经变成是/web,所以我们需要更改nginx传递给php-fpm的网站根目录地址。
找到
 

  1. fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; 
更改为
 

  1. fastcgi_param SCRIPT_FILENAME /web$fastcgi_script_name; 
 
3、一些目录创建

  1. cd /home/chroot/www.centos.bz/ 
  2. mkdir -p tmp etc bin usr/sbin lib dev/ 
  3. mknod -m 0666 dev/null c 1 3 
  4. mknod -m 0666 dev/random c 1 8 
  5. mknod -m 0666 dev/urandom c 1 9 
  6. mknod -m 0666 dev/zero c 1 5 
  7. chmod 1777 tmp 
4、修复解析
把www.centos.bz的php完全限制在一个目录下后,导致了php无法解析域名,以32位系统为例(64位库文件位置为lib64)下面是修复的步骤,
 

  1. cd /home/chroot/www.centos.bz/ 
  2. cp /etc/hosts /etc/resolv.conf /etc/nsswitch.conf etc/ 
  3. cp /lib/{ld-linux.so.2,libc.so.6,libdl.so.2,libnss_dns.so.2,libnss_files.so.2,libresolv.so.2,libtermcap.so.2}  lib/ 
这样php就可以解析域名了。
 
5、修复sendmail功能
同样chroot目录后,就无法发送邮件了,我们这里使用mini_sendmail代为发送邮件。同样以32位系统为例。
 

  1. cd /home/chroot/www.centos.bz/ 
  2. cp -P /bin/bash /bin/sh bin 
  3. cp /etc/passwd /etc/group etc 
  4. cd /tmp 
  5. wget http://www.acme.com/software/mini_sendmail/mini_sendmail-1.3.6.tar.gz 
  6. tar xzf mini_sendmail-1.3.6.tar.gz 
  7. cd mini_sendmail-1.3.6 
  8. make 
  9. cp mini_sendmail /home/chroot/www.centos.bz/usr/sbin/sendmail 









本文转自 紫色葡萄 51CTO博客,原文链接:http://blog.51cto.com/purplegrape/1179640,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
开发与运维
使用钉钉扫一扫加入圈子
+ 订阅

集结各类场景实战经验,助你开发运维畅行无忧

其他文章