主页 / server / 问题 / 931657
Accepted
Sander Marechal
Asked: 2018-09-20 02:29:03 +0800 CST

Apache 和 PHP-FPM 安全与 mod_proxy_fcgi

  • 772

我在共享主机配置中使用 PHP-FPM。每个 FPM 池作为不同的用户运行。Apache 作为 www-data 运行。Apache 使用 mod_proxy_fcgi 通过套接字连接。我允许用户使用 .htaccess 文件。

如何防止用户连接到错误的 FPM 池?

虚拟主机看起来像这样:

<VirtualHost *:80>
        ServerName foo.com
        DocumentRoot /var/www/sites/foo.com/html
        <FilesMatch "\.php$">
                SetHandler "proxy:unix:/var/run/foo-com-fpm.sock|fcgi://localhost"
        </FilesMatch>
</VirtualHost>

但是,foo-com 用户可以轻松地从他的 .htaccess 中覆盖该处理程序:

<FilesMatch "\.php$">
        SetHandler "proxy:unix:/var/run/bar-com-fpm.sock|fcgi://localhost"
</FilesMatch>

这将允许他以不同的用户身份运行 PHP 脚本。在不禁止 FileInfo 覆盖的情况下,如何防止这种情况发生?

apache-2.4

1 个回答

  1. Best Answer

    AllowOverrideList允许进一步限制 .htaccess 指令到指定的列表。

    从文档中引用:

    当此指令设置为 None 并 AllowOverride 设置为 时 None,.htaccessfiles 将被完全忽略。在这种情况下,服务器甚至不会尝试读取 .htaccess文件系统中的文件。

    例子:

    AllowOverride None
AllowOverrideList Redirect RedirectMatch

    在上面的示例中,只允许使用 Redirect andRedirectMatch 指令。所有其他将导致内部服务器错误。

    例子:

    AllowOverride AuthConfig
AllowOverrideList CookieTracking CookieName

    在上面的示例中, AllowOverride 授予 AuthConfig 指令分组 AllowOverrideList 权限并仅授予指令分组中的两个指令权限 FileInfo 。所有其他将导致内部服务器错误。

    • 2

相关问题