nginx php-fpm环境中chroot功能的配置使用方法

来源: 电脑维修教程 阅读:     发表时间:

nginx+php-fpm是现在配置php环境非常流行的组合之一。nginx以其并发能力强,轻巧,速度快而受到非常多人的青睐,php-fpm以其安全,处理php速度快而成为与n

nginx+php-fpm是现在配置php环境非常流行的组合之一。nginx以其并发能力强,轻巧,速度快而受到非常多人的青睐,php-fpm以其安全,处理php速度快而成为与nginx的最佳组合。php-fpm提供有一个非常重要的功能chroot,它可以把指定的网站完完全全限制在一个目录下,可以对系统和其它虚拟机起到很好的隔离效果,这对系统的安全无疑是加强了不少,下面介绍如何配置。

我们假设域名为www.jb51.net,网站根目录为/home/chroot/www.jb51.net/web,需要把此网站限制在/home/chroot/www.jb51.net。

一、php-fpm.conf配置

打开php-fpm.conf文件,把chroot更改为chroot = /home/chroot/www.jb51.net

二、nginx配置

我们上面把www.jb51.net站点限制在了/home/chroot/www.jb51.net,所以对于php-fpm,此网站根目录已经变成是/web,所以我们需要更改nginx传递给php-fpm的网站根目录地址。

找到fastcgi_param script_filename $document_root$fastcgi_script_name;,更改为fastcgi_param script_filename /web$fastcgi_script_name;

三、一些目录创建

代码如下:

cd /home/chroot/www.jb51.net/

mkdir -p tmp etc bin usr/sbin lib dev/

mknod -m 0666 dev/null c 1 3

mknod -m 0666 dev/random c 1 8

mknod -m 0666 dev/urandom c 1 9

mknod -m 0666 dev/zero c 1 5

chmod 1777 tmp

四、修复解析

把www.jb51.net的php完全限制在一个目录下后,导致了php无法解析域名,以32位系统为例(64位库文件位置为lib64)下面是修复的步骤,

代码如下:

cd /home/chroot/www.jb51.net/

cp /etc/hosts /etc/resolv.conf /etc/nsswitch.conf etc/

cp /lib/{ld-linux.so.2,libc.so.6,libdl.so.2,libnss_dns.so.2,libnss_files.so.2,libresolv.so.2,libtermcap.so.2} lib/

这样php就可以解析域名了。

五、修复sendmail功能

同样chroot目录后,就无法发送邮件了,我们这里使用mini_sendmail代为发送邮件。同样以32位系统为例。

代码如下:

cd /home/chroot/www.jb51.net/

cp -p /bin/bash /bin/sh bin

cp /etc/passwd /etc/group etc

cd /tmp

wget http://www.acme.com/software/mini_sendmail/mini_sendmail-1.3.6.tar.gz

tar xzf mini_sendmail-1.3.6.tar.gz

cd mini_sendmail-1.3.6

make

cp mini_sendmail /home/chroot/www.jb51.net/usr/sbin/sendmail

六、与禁用函数相比,chroot有什么优点呢?

禁用函数是针对整个php程序而言的,所有需要通过php程序进行解析的文件,都会受到禁用函数的设置。网站程序不同,那么有可能需要的函数不同,不同的虚拟主机无法单独设置。而chroot可以根据不同的虚拟主机,进行特异化设置。对于需要使用特殊函数的程序,可以关闭chroot,来保证网站程序的正常运转;程序不需要调用特殊的程序,就可以开启chroot模式;如果只是要启用一个或两个特定的程序,你可以仿照如下的过程添加函数。比如说,当我们开启chroot时,php程序是无法使用sendmail()函数来发信的,我们可以使用mini_sendmail替代sendmail来修复发信。

代码如下:

cd /home/wwwroot/www.ixiqin.com/

cp -p /bin/bash /bin/sh bin

cp /etc/passwd /etc/group etc

cd /tmp

wget http://centos.googlecode.com/files/mini_sendmail-1.3.6.tar.gz

tar xzf mini_sendmail-1.3.6.tar.gz

cd mini_sendmail-1.3.6

make

cp mini_sendmail /home/wwwroot/www.ixiqin.com/usr/sbin/sendmail

以上代码,在/tmp目录下编译mini_sendmail,然后将生成的可执行文件复制到chroot后目录下相应位置,以保证发件系统的正常运行。

七、有什么需要注意的呢?

tips one:chroot模式下,各种探针,如雅黑探针将会失效,报错。

tips two:chroot模式可用做在线shell模拟器,安全真实。

综合以上分析,我建议,与其使用死板的禁用函数,我们为什么不试试更加好用的chroot。

您可能感兴趣的文章:

mac下apache + mysql + php搭建网站开发环境

阿里云完美教程 window2003 iis+mysql+php+zend环境配置

windows server 2008搭建php运行环境图文详解(php5.3)

windows server 2012 iis8 php环境配置方法

windows 8 iis中配置php运行环境的方法

win2008 r2 iis7 php 5.4 环境搭建图文教程

win2008 r2 iis7.5+php5(fastcgi)+mysql5环境搭建教程

windows下apache+php+mysql 环境配置方法

windows+iis 环境下以fastcgi方式配置php 5.3.3的方法

windows下apache+mysql+php运行环境的安装图文方法

iis7配置php环境图文教程(fastcgi快速最新版)

windows下配置apache+php+mysql时出现问题的处理方法

以上是:解决nginx php-fpm环境中chroot功能的配置使用方法问题的详细资料教程