欢迎来到资源库(www.zyku.net)

HTML CSS JavaScript HTML5 PHP ASP.NET 正则表达式 AJAX ThinkPHP Yii MySQL MariaDB Oracle MongoDB Redis

DedeCMS PHPCMS 帝国CMS WordPress Discuz! ECShop PHPWind 其它CMS CMS插件 微信开发 图标素材 按钮素材 字体素材

Windows Linux Nginx Apache IIS CentOS Ubuntu Debian 网站优化 工具资源 PHP源码 ASP.NET源码 其它源码 单页模板

Nginx

当前位置:首页 > 服务器教程 > Nginx > 跨站

nginx + php-fpm fastcgi防止跨站、跨目录的安全设置

时间:2017-03-11|栏目:Nginx|点击:|我要投稿

我们知道apache php mod的方式可以很方便的配置 open_basedir 限制各个站点的目录访问权限。

nginx + php-fpm fastcgi的方式需要这样做。

首先php的版本必须大于等于php5.3.3。

总限制 通过php-fpm.conf限制

在php-fpm.conf配置文件当中可以增加如下参数

  env[TMP] = /tmp/
  env[TMPDIR] = /tmp/
  env[TEMP] = /tmp/
  php_admin_value[sendmail_path] = /usr/sbin/sendmail -t -i -f webmaster@qq.com
  php_admin_value[open_basedir] = /home/wwwroot/:/tmp/:/var/tmp:/proc/
  php_admin_value[session.save_path] = /tmp/
  php_admin_value[upload_tmp_dir] = /tmp/
  slowlog = /usr/local/php/var/log/$pool.log
  request_slowlog_timeout = 3s

可以配置env,php_admin_value。

那么配置

php_admin_value[open_basedir] = /home/wwwroot/:/tmp/:/var/tmp:/proc/

就可以把整个php脚本的访问目录控制住了。

如果方法1 方法2 方法3未配置的情况下,那么open_basedir的值就为本设置的值,如果方法1 方法2 方法3设置了,那么就是新设置的值。

另外的我这里打开了php慢执行。

slowlog 写保存路径,request_slowlog_timeout写时间。

更多的请看php官网手册 http://www.php.net/manual/en/install.fpm.configuration.php

方法1 在nginx 配置 fastcgi_param参数

在nginx的 php配置中 或者 在 包含的 include fastcgi.conf 文件中加入:

fastcgi_param PHP_ADMIN_VALUE "open_basedir=$document_root/:/tmp/:/proc/";

$document_root php文档根目录,就是 nginx 配置项 root 配置的网站目录。

/tmp/目录需要有权限,默认放seesion的位置,以及unixsock。

/proc/ 可以让php查看系统负载信息。

本方法加的各个vhost 虚拟主机,都可以完美使用。都限制到自己的网站目录下。

非常推荐使用, 总限制 + 方法1 这样的组合配置方式!!!!!

方法2 在php.ini 中配置

在php.ini的末尾加入:

  [HOST=www.iamle.com]
  open_basedir=/home/wwwroot/www.iamle.com:/tmp/:/proc/
  [PATH=/home/wwwroot/www.iamle.com]
  open_basedir=/home/wwwroot/www.iamle.com:/tmp/:/proc/

本方法的弊端,如果有泛域名解析,比如 *.iale.com 。这个就不好控制。

方法3 网站根目录下增加 .user.ini 文件。

在php.ini中找到user_ini.filename 、 user_ini.cache_ttl 去掉前面的分号。

  ; Name for user-defined php.ini (.htaccess) files. Default is ".user.ini"
  user_ini.filename = ".user.ini"
  ; To disable this feature set this option to empty value
  ;user_ini.filename =
  ; TTL for user-defined php.ini files (time-to-live) in seconds. Default is 300 seconds (5 minutes)
  user_ini.cache_ttl = 300

在网站根目录下创建.user.ini 加入:

open_basedir=/home/wwwroot/www.iamle.com:/tmp/:/proc/

这种方式不需要重启nginx或php-fpm服务。

特别注意,需要取消掉.user.ini文件的写权限,这个文件只让最高权限的管理员设置为只读。

方法1设置后,.user.ini的设置就不起作用了。

关于.user.ini文件的详细说明:

http://php.net/manual/zh/configuration.file.per-user.php

原文链接:https://www.iamle.com/archives/1609.html

(资源库 www.zyku.net)

跨站 跨目录 安全设置

上一篇:Nginx 禁止某个IP或者IP段访问的方法

栏    目:Nginx

下一篇:Nginx+PHP设置安全的网站目录权限

本文标题:nginx + php-fpm fastcgi防止跨站、跨目录的安全设置

本文地址:https://www.zyku.net/nginx/1161.html

更多互联网推荐教程

您可能感兴趣的文章

最近更新

阅读排行

猜你喜欢

关于我们 | 版权申明 | 寻求合作 |

重要申明:本站所有的文章、图片、评论等内容,均由网友发表或上传并维护或收集自网络,仅供个人学习交流使用,版权归原作者所有。

如有侵犯您的版权,请与我们联系,我们将在24小时内进行处理、任何非本站因素导致的法律后果,本站均不负任何责任。

联系QQ:95148658 | 邮箱:mb8#qq.com(#换成@)

苏ICP备2020066115号-1

本网站由提供CDN加速/云存储服务