/ 中存储网

Nginx+PHP服务器环境中防止黑客webshell跨目录的方法

2014-04-03 17:13:01 来源:kejihao
nginx为多用户多域名提供虚拟主机一直都是个问题.在php的执行上是采用fastcgi的方式运行的.php在fastcgi模式下虽然效率有很多提升,但是也暴露出一个问题,就是安全性问题.php以fastcgi方式运行一般是采用tcp或者socket方式,这两种方式本质上是一样的. 都是以同一个用户权限执行,这样在多用户多域名多网站的情况下就变得很糟糕,很容易形成跨站.被黑客利用的话,他就可以遍历整台服务器中php执行权限能 访问的地方,也就是多个网站的目录.原因就是因为fastcgi方式执行的php对每个目录指定的open_basedir是一样的.

下面简单介绍一种nginx下防止多站点之间跨目录访问的方法:对每个站点采用不同的fastcgi端口进行处理.

1.在nginx.conf里把每个虚拟主机站点请求端口给区别开

我的第一个站点配置

server

{

listen 80;

server_name www.itdhz.com;

index index.html index.htm index.php;

root /home/wwwroot/www;

#limit_conn crawler 20;

location ~ .*.(php|php5)?$

{

#fastcgi_pass unix:/tmp/php-cgi.sock;

fastcgi_pass 127.0.0.1:9000;

fastcgi_index index.php;

include fcgi.conf;

}

}

我的另一个站点配置

server

{

listen 80;

server_name soft.itdhz.com;

index index.html index.htm index.php;

root /home/wwwroot/soft;

#limit_conn crawler 20;

location ~ .*.(php|php5)?$

{

#fastcgi_pass unix:/tmp/php-cgi.sock;

fastcgi_pass 127.0.0.1:9001;

fastcgi_index index.php;

include fcgi.conf;

}

}

这里需要注意的是,fastcgi_pass unix:/tmp/php-cgi.sock 和 fastcgi_pass 127.0.0.1:9001 这是两种不同的处理方式,同时只能使用其中的一种,这里我们需要用到的是后面一种,把前面的注销掉。

2.为每个站点建一个conf,并进行配置

cp /usr/local/php/etc/php-fpm.conf /usr/local/php/etc/www.conf

cp /usr/local/php/etc/php-fpm.conf /usr/local/php/etc/soft.conf

在www.conf中找到php_defines,添加内容

<value name="”open_basedir”">/home/wwwroot/www:/tmp:/var/tmp</value>

在www.conf中找到listen_address,修改内容为

<value name=”listen_address”>127.0.0.1:9000</value>

在soft.conf中找到php_defines,添加内容

<value name="”open_basedir”">/home/wwwroot/soft:/tmp:/var/tmp</value>

在soft.conf中找到listen_address,修改内容为

<value name=”listen_address”>127.0.0.1:9001</value>

这里注意一下端口号,别设置错了,要和nginx.conf里面对应。

3.修改 /usr/local/php/sbin/php-fpm启动脚本

默认的php-fpm(部分代码)是下面这样的

php_fpm_BIN=/usr/local/php/bin/php-cgi

php_fpm_CONF=/usr/local/php/etc/php-fpm.conf

php_fpm_PID=/usr/local/php/logs/php-fpm.pid

php_opts="--fpm-config $php_fpm_CONF"

case $1 in

start)

$php_fpm_BIN --fpm $php_opts

我们这里要加载两个配置文件,修改如下

php_fpm_BIN=/usr/local/php/bin/php-cgi

php_fpm_CONF1=/usr/local/php/etc/www.conf

php_fpm_CONF2=/usr/local/php/etc/soft.conf

php_fpm_PID=/usr/local/php/logs/php-fpm.pid

php_opts1="--fpm-config $php_fpm_CONF1"

php_opts2="--fpm-config $php_fpm_CONF2"

case $1 in

start)

$php_fpm_BIN --fpm $php_opts1

$php_fpm_BIN --fpm $php_opts2

4.配置完成了,启动服务

/usr/local/php/sbin/php-fpm start

/usr/local/nginx/sbin/nginx -s reload

开了9000 9001俩个不同的端口分开处理两个站点请求,两个php-cgi主进程加载不同的conf文件。 当然,启动之前记得conf里面的max_children,开启php-cgi子进程数,相应要减少一些,以免造成内存不足。

在写这篇文章的时候,我试了好几次都没有成功,主要原因是php-fpm启动脚本里面写错了。前面两步一般不会出问题,主要是第三步,如果启动不成功,多检查检查就会发现问题了。