nginx php-fpm环境中chroot功能的配置使用方法
nginx+php-fpm是现在配置php环境非常流行的组合之一。nginx以其并发能力强,轻巧,速度快而受到非常多人的青睐,php-fpm以其安全,处理php速度快而成为与nginx的最佳组合。php-fpm提供有一个非常重要的功能chroot,它可以把指定的网站完完全全限制在一个目录下,可以对系统和其它虚拟机起到很好的隔离效果,这对系统的安全无疑是加强了不少,下面介绍如何配置。
我们假设域名为www.jb51.net,网站根目录为/home/chroot/www.jb51.net/web,需要把此网站限制在/home/chroot/www.jb51.net。
一、php-fpm.conf配置
打开php-fpm.conf文件,把chroot更改为chroot = /home/chroot/www.jb51.net
二、nginx配置
我们上面把www.jb51.net站点限制在了/home/chroot/www.jb51.net,所以对于php-fpm,此网站根目录已经变成是/web,所以我们需要更改nginx传递给php-fpm的网站根目录地址。
找到fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;,更改为fastcgi_param SCRIPT_FILENAME /web$fastcgi_script_name;
cd /home/chroot/www.jb51.net/
mkdir -p tmp etc bin usr/sbin lib dev/
mknod -m 0666 dev/null c 1 3
mknod -m 0666 dev/random c 1 8
mknod -m 0666 dev/urandom c 1 9
mknod -m 0666 dev/zero c 1 5
chmod 1777 tmp
四、修复解析
把www.jb51.net的php完全限制在一个目录下后,导致了php无法解析域名,以32位系统为例(64位库文件位置为lib64)下面是修复的步骤,
代码如下:
cd /home/chroot/www.jb51.net/
cp /etc/hosts /etc/resolv.conf /etc/nsswitch.conf etc/
cp /lib/{ld-linux.so.2,libc.so.6,libdl.so.2,libnss_dns.so.2,libnss_files.so.2,libresolv.so.2,libtermcap.so.2} lib/
这样php就可以解析域名了。
五、修复sendmail功能
同样chroot目录后,就无法发送邮件了,我们这里使用mini_sendmail代为发送邮件。同样以32位系统为例。
代码如下:
cd /home/chroot/www.jb51.net/
cp -P /bin/bash /bin/sh bin
cp /etc/passwd /etc/group etc
cd /tmp
wget http://www.acme.com/software/mini_sendmail/mini_sendmail-1.3.6.tar.gz
tar xzf mini_sendmail-1.3.6.tar.gz
cd mini_sendmail-1.3.6
make
cp mini_sendmail /home/chroot/www.jb51.net/usr/sbin/sendmail
六、与禁用函数相比,Chroot有什么优点呢?
禁用函数是针对整个PHP程序而言的,所有需要通过PHP程序进行解析的文件,都会受到禁用函数的设置。网站程序不同,那么有可能需要的函数不同,不同的虚拟主机无法单独设置。而Chroot可以根据不同的虚拟主机,进行特异化设置。对于需要使用特殊函数的程序,可以关闭Chroot,来保证网站程序的正常运转;程序不需要调用特殊的程序,就可以开启Chroot模式;如果只是要启用一个或两个特定的程序,你可以仿照如下的过程添加函数。比如说,当我们开启Chroot时,PHP程序是无法使用sendmail()函数来发信的,我们可以使用mini_sendmail替代sendmail来修复发信。
代码如下:
cd /home/wwwroot/www.ixiqin.com/
cp -P /bin/bash /bin/sh bin
cp /etc/passwd /etc/group etc
cd /tmp
wget http://centos.googlecode.com/files/mini_sendmail-1.3.6.tar.gz
tar xzf mini_sendmail-1.3.6.tar.gz
cd mini_sendmail-1.3.6
make
cp mini_sendmail /home/wwwroot/www.ixiqin.com/usr/sbin/sendmail
以上代码,在/tmp目录下编译mini_sendmail,然后将生成的可执行文件复制到chroot后目录下相应位置,以保证发件系统的正常运行。
七、有什么需要注意的呢?
Tips One:Chroot模式下,各种探针,如雅黑探针将会失效,报错。
Tips Two:Chroot模式可用做在线shell模拟器,安全真实。
综合以上分析,我建议,与其使用死板的禁用函数,我们为什么不试试更加好用的Chroot。
相关推荐
-
Nginx和PHP-FPM的启动、重启、停止脚本分享
服务器上的Nginx和PHP都是源码编译安装的,不像ubuntu一样有自带service启动脚本,所以不支持类似以前的nginx (start|restart|stop|reload)了.自己动手丰衣足食.以下脚本应该在RHEL, Fedora, CentOS下都适用. 一.Nginx启动脚本/etc/init.d/nginx 复制代码 代码如下: #!/bin/bash # # Startup script for Nginx - this script starts and stops th
-
安装配置php-fpm来搭建Nginx+PHP的生产环境
nginx本身不能处理PHP,它只是个web服务器,当接收到请求后,如果是php请求,则发给php解释器处理,并把结果返回给客户端. nginx一般是把请求发fastcgi管理进程处理,fascgi管理进程选择cgi子进程处理结果并返回被nginx 本文以php-fpm为例介绍如何使nginx支持PHP 一.编译安装php-fpm 什么是PHP-FPM PHP-FPM是一个PHP FastCGI管理器,是只用于PHP的,可以在 http://php-fpm.org/download下载得到. P
-
nginx+php-fpm配置文件的组织结构介绍
1.nginx的配置文件路径 一般来说,安装nginx的时候,配置文件的默认路径是 /usr/local/nginx/conf/nginx.conf. 我们可以使用一个链接文件,将conf目录指向一个特定目录,以方便管理.例如,笔者所在的公司喜欢将所有的服务器配置文件集中在/home/server_config中,然后在该目录中新建一个子目录 nginx,再将/usr/local/nginx/conf 通过链接文件指向/home/server_config/nginx. 2.Virtual ho
-
ubuntu10.04配置 nginx+php-fpm模式的详解
ppa安装php-fpm安装工具包 复制代码 代码如下: $ sudo apt-get install python-software-properties 添加ppa源 复制代码 代码如下: $ sudo add-apt-repository ppa:yola/php5 安装php5-fpm 复制代码 代码如下: sudo apt-get updatesudo apt-get install php5-fpm 其它必要的软件安装接 复制代码 代码如下: sudo apt-get
-
nginx调用php-fpm出错解决方法和nginx配置详解
装完了nginx和php-5.5,配置好了nginx调用php后,就开始启动php-fpm. 使用下面的命令 复制代码 代码如下: /usr/local/php/sbin/php-fpm 就可以启动了. 在nginx的目录中创建个php的检测脚本index.php 结果在打开http://localhost/index.php 悲剧的发现居然无法打开 .查看日志文件,看了下报错原因 复制代码 代码如下: 2013/07/01 22:34:26 [error] 3214#0: *64 FastCG
-
实现Nginx中使用PHP-FPM时记录PHP错误日志的配置方法
nginx与apache不一样,在apache中可以直接指定php的错误日志,那样在php执行中的错误信息就直接输入到php的错误日志中,可以方便查询. 在nginx中事情就变成了这样:nginx只对页面的访问做access记录日志.不会有php的error log 信息.nginx把对php的请求发给php-fpm fastcgi进程来处理,默认的php-fpm只会输出php-fpm的错误信息,在php-fpm的errors log里也看不到php的errorlog. 原因是php-fpm的配
-
Nginx使用的php-fpm的两种进程管理方式及优化
PS:前段时间配置php-fpm的时候,无意中发现原来它还有两种进程管理方式.与Apache类似,它的进程数也是可以根据设置分为动态和静态的. php-fpm目前主要又两个分支,分别对应于php-5.2.x的版本和php-5.3.x的版本.在5.2.x的版本中,php-fpm.conf使用的是xml格式,而在新的5.3.x版本中,则是和php.ini一样的配置风格. 在5.2.x版本中,php-fpm.conf中对于进程管理号称是有两种风格,一种是静态(static)的,一种是类似于apache
-
nginx connect() to unix:/var/run/php-fpm.sock failed (11: Resource temporarily unavailable)
网站常出现502 bad gateway,程序没有问题. 根据nginx日志: 复制代码 代码如下: connect() to unix:/var/run/php-fpm.sock failed (11: Resource temporarily unavailable) 发现phpfpm的listen是unix sock方式运行的,问题可能出在php fpm上.php fpm配置文件里有backlog,backlog是linux服务器在socket处理连接数的定义,phpfpm默认为-1,将-
-
nginx php-fpm 小VPS 优化
小VPS受系统资源的限制,访问量过大,超过系统所能承受的极限时,有一部分请求就会502了.在系统资源够用的情况,优化nginx,php-fpm,以及系统本身,达到2个目的: 1,合理配置系统资源,将有限的资源,最大化利用.好钢用在刀刃上. 2,尽量减少磁盘的I/O 一,系统主要资源 [root@xxxxxx nginx]# free -m total used free shared buffers cached Mem: 994 815 179 0 43 118 -/+ buffers/cac
-
nginx加php-fpm出现502 bad gateway错误的5种解决方法
nginx出现502有很多原因,但大部分原因可以归结为资源数量不够用,也就是说后端php-fpm处理有问题,nginx将正确的客户端请求发给了后端的php-fpm进程,但是因为php-fpm进程的问题导致不能正确解析php代码,最终返回给了客户端502错误. 服务器出现502的原因是连接超时 我们向服务器发送请求 由于服务器当前链接太多,导致服务器方面无法给于正常的响应,产生此类报错 因此如果你服务器并发量非常大,那只能先增加机器,然后按以下方式优化会取得更好效果;但如果你并发不大却出现502,
-
PHP脚本监控Nginx 502错误并自动重启php-fpm
最近服务器时不时出现Nginx 502 Bad Gateway,如果在电脑旁边还好,要是半夜或者出去了,怎么办? 没关系,写个脚本检测服务状态,发现异常,自动重启. 自动重启脚本: 复制代码 代码如下: <?php $url = 'http://blog.rebill.info'; $cmd = '/usr/local/php/sbin/php-fpm restart'; for($i = 0; $i < 5; $i ++){ $exec = "curl con
-
Opcache导致php-fpm崩溃nginx返回502
我这个博客为了提高运行效率在vps上装了opcache扩展,结果发现有个页面返回502,其他页面正常. 检查了php-fpm日志,发现是php-fpm子进程不知道为什么会崩溃,然后把opcache关了就正常.中间折腾的过程就不提了,总之最后发现应该是和另外一个扩展 zend guard冲突导致的,搞笑的是,只要我把php.ini中[zend guard] 配置段放在[zend opcache]后面就正常了. 不想继续深究了,如果你对php底层熟悉,可以为我解惑.
-
nginx php-fpm中启用慢日志配置(用于检测执行较慢的PHP脚本)
很多站长转到nginx+php-fpm后,饱受500,502问题困扰.当nginx收到如上错误码时,可以确定后端php-fpm解析php出了某种问题,比如,执行错误,执行超时. php-fpm.conf的配置文件中有一个参数request_slowlog_timeout是这样描述的 复制代码 代码如下: ; The timeout for serving a single request after which a PHP backtrace will be; dumped to the 'sl