【转】Nginx——防止webshell跨目录
原文地址:?http://www.itdhz.com/post-131.html
此文解决了我主机上多虚拟主机用户权限控制的大难题,特此收藏备用!
?
nginx为多用户多域名提供虚拟主机一直都是个问题.在php的执行上是采用fastcgi的方式运行的.php在fastcgi模式下虽然效率有很多提升,但是也暴露出一个问题,就是安全性问题.php以fastcgi方式运行一般是采用tcp或者socket方式,这两种方式本质上是一样的. 都是以同一个用户权限执行,这样在多用户多域名多网站的情况下就变得很糟糕,很容易形成跨站.被黑客利用的话,他就可以遍历整台服务器中php执行权限能 访问的地方,也就是多个网站的目录.原因就是因为fastcgi方式执行的php对每个目录指定的open_basedir是一样的.
下面简单介绍一种nginx下防止多站点之间跨目录访问的方法:对每个站点采用不同的fastcgi端口进行处理.
?
/usr/local/php/sbin/php-fpm start/usr/local/nginx/sbin/nginx -s reload
?开了9000 9001俩个不同的端口分开处理两个站点请求,两个php-cgi主进程加载不同的conf文件。 当然,启动之前记得conf里面的max_children,开启php-cgi子进程数,相应要减少一些,以免造成内存不足。
?
在写这篇文章的时候,我试了好几次都没有成功,主要原因是php-fpm启动脚本里面写错了。前面两步一般不会出问题,主要是第三步,如果启动不成功,多检查检查就会发现问题了。
?