我正在从单个 PHP 实例移动位于单个服务器上的每个网站(因此所有网站中的所有文件都归 apache 所有,并且仅安装了默认的 php 库而没有安装 php-fpm) ...我正在为每个单独的网站安装一个 php-fpm 池。
更好的安全性和网站分离是我的目标,最大的目标是 1 个网站中的 PHP 脚本将无法从另一个网站访问 PHP 脚本。
我显然做错了什么。
我的环境:
- CentOS 7
- PHP 5.4.16
- 阿帕奇 2.4.6
这是一个示例 php-fpm 池配置文件:
[root@host]# cat /etc/php-fpm.d/website1.com.conf
[website1.com]
user = user1
group = user1
listen = /var/run/php-fpm/website1.com.sock
listen.owner = user1
listen.group = user1
php_admin_value[disable_functions] = exec,passthru,shell_exec,system
php_admin_flag[allow_url_fopen] = on
php_admin_value[short_open_tag] = On
pm = ondemand
pm.max_children = 5
pm.start_servers = 2
pm.min_spare_servers = 1
pm.max_spare_servers = 3
chdir = /home/www/website1.com/
这是它在 Apache 中对应的 vhost 文件:
[root@host]# cat /etc/httpd/conf.d/website1.com.conf
<VirtualHost *:80>
ServerAdmin [email protected]
ServerName website1.com
ServerAlias www.website1.com
DocumentRoot /home/www/website1.com/www
<Directory "/home/www/website1.com/www">
Options Includes FollowSymLinks
AllowOverride All
Order allow,deny
Allow from all
</Directory>
ErrorLog /home/www/website1.com/logs/errors
CustomLog /home/www/website1.com/logs/access_log common
<FilesMatch "\.php$">
SetHandler "proxy:unix:///var/run/php-fpm/website1.com.sock|fcgi://website1.com/"
</FilesMatch>
</VirtualHost>
所有文件和文件夹都由 user1 单独拥有(该组也设置为 user1)。
我在“website2”中有一个 PHP 脚本,它仍然能够访问“website1”内容。“website2”的 php-fpm 池配置文件中的设置和“website2”Apache vhost 配置文件中的设置与网站 1 相同(除了不同的文件夹路径、主目录、chroot 等...)。
这是我的测试脚本,位于 /home/www/website2/www/ 并可通过 website2.com 域名访问:
<?php
$test = file_get_contents('/home/www/website1.com/www/wp-config.php');
echo $test;
#$files = scandir('/home/www');
#print_r($files);
?>
然而,这个脚本的输出有点出乎意料。我没有看到 wp-config.php 的全部内容。相反,我看到的是文件中某个点之外的所有内容(如果您熟悉 wp-config.php,我会在define('SECURE_AUTH_KEY','foo')条目之后看到所有内容)。
为什么这个在“user2”下运行的测试脚本可以访问并回显在“user1”目录中找到的 wp-config.php 的一些内容?我认为该chdir = /home/www/website1.com/指令会阻止这种事情。
看来您已经设置
chdir而不是chroot在您的 php-fpm 池配置中。该
chdir指令只是更改该池的 php 进程的工作目录;它不会在 chroot 中启动进程。看到这个问题。