主页 / user-2384

Sander Marechal's questions

Martin Hope
Sander Marechal
Asked: 2018-09-20 02:29:03 +0800 CST
  • 2

我在共享主机配置中使用 PHP-FPM。每个 FPM 池作为不同的用户运行。Apache 作为 www-data 运行。Apache 使用 mod_proxy_fcgi 通过套接字连接。我允许用户使用 .htaccess 文件。

如何防止用户连接到错误的 FPM 池?

虚拟主机看起来像这样:

<VirtualHost *:80>
        ServerName foo.com
        DocumentRoot /var/www/sites/foo.com/html
        <FilesMatch "\.php$">
                SetHandler "proxy:unix:/var/run/foo-com-fpm.sock|fcgi://localhost"
        </FilesMatch>
</VirtualHost>

但是,foo-com 用户可以轻松地从他的 .htaccess 中覆盖该处理程序:

<FilesMatch "\.php$">
        SetHandler "proxy:unix:/var/run/bar-com-fpm.sock|fcgi://localhost"
</FilesMatch>

这将允许他以不同的用户身份运行 PHP 脚本。在不禁止 FileInfo 覆盖的情况下,如何防止这种情况发生?

apache-2.4
Martin Hope
Sander Marechal
Asked: 2015-07-14 02:44:07 +0800 CST
  • 4

我有两个具有两个代码库的网站,但是当我更改一个代码库时,我看到两者都发生了变化。

我有同一个网站的两个结帐。它们被设置为通过 Apache2 和 FastCGI 使用 PHP-FPM。结帐在:

/var/www/site1
/var/www/site2

Apache 配置如下所示:

<VirtualHost *:80>
    ServerName site1.myserver.com
    DocumentRoot /var/www/site1
    <IfModule mod_fastcgi.c>
        AddHandler php5-fcgi-handler .php
        Action php5-fcgi-handler /php5-fcgi-uri
        Alias /php5-fcgi-uri fcgi-application
        FastCgiExternalServer fcgi-application -socket /var/run/site1-fpm.sock -pass-header Authorization -idle-timeout 30000 -flush
    </IfModule>
</VirtualHost>

<VirtualHost *:80>
    ServerName site2.myserver.com
    DocumentRoot /var/www/site2
    <IfModule mod_fastcgi.c>
        AddHandler php5-fcgi-handler .php
        Action php5-fcgi-handler /php5-fcgi-uri
        Alias /php5-fcgi-uri fcgi-application
        FastCgiExternalServer fcgi-application -socket /var/run/site2-fpm.sock -pass-header Authorization -idle-timeout 30000 -flush
    </IfModule>
</VirtualHost>

FPM 池配置如下所示:

[site1]
user = site1-user
group = site1-group
listen = /var/run/site1-fpm.sock
listen.owner = www-data
listen.group = www-data
chdir = /
pm = ondemand
pm.max_children = 5
pm.max_requests = 500 ;default to unlimited

[site2]
user = site2-user
group = site2-group
listen = /var/run/site2-fpm.sock
listen.owner = www-data
listen.group = www-data
chdir = /
pm = ondemand
pm.max_children = 5
pm.max_requests = 500 ;default to unlimited

我没有使用 FPM 的 chroot 功能(据我所知)。

当我更改 site1 的代码并重新启动 PHP-FPM 并访问 site1 和 site2 时,我在两个站点上都看到了更改。

如果我重新启动 PHP-FPM 并首先访问 site2(未更改的站点),然后是 site1,那么我在任何一个站点上都看不到更改。

我的配置有什么问题?我确实看到在主 FPM 主机下为 site1 和 site2 运行单独的 PHP-FPM 进程。

apache-2.4