关于Nginx+PHP的虚拟主机目录权限控制的一点探究

时间:16-01-02 来源: 作者: 点击:

Nginx的使用者最近越来越多,很多大型网站也都从Apache或其他平台迁移到了Nginx。但在我使用Nginx的过程中有个问题一直未得到解决,就是如何限制Nginx+PHP的目录权限。

我们知道,在Apache中可以很容易的对虚拟目录进行权限控制,如:

程序代码

<VirtualHost>
ServerAdminxiaopb@live.com
DocumentRoot/usr/www/xpb/
ServerName:80
ServerAlias
ErrorLoglogs/default-error_log
php_admin_valueopen_basedir"/tmp/:/usr/www/xpb/"
</VirtualHost>

关 键是后面的这句php_admin_value,这样就限制了php的操作目录仅限于/tmp/和/usr/www/xpb/这两个目录了。对于 Apache虚拟主机来说,这个设置十分有用,结合在php.ini中禁用一些php函数,几乎可以杜绝PHP木马对其他站点及系统的危害。我虽没专业做 过Linux下的虚拟主机,但相信各大虚拟主机商也是这么做的。据说Apache的suEXEC可以解决此问题,但是不仅配置复杂,貌似稳定性和负载性也 会受到影响,以下是我找到的一点资料:

引用内容

suEXEC特性使得Apache可以使用与调用web服务器的用户不同的用户身份来运行CGI和SSI程序。而通常情况下,CGI或者SSI程序执行时使用和web服务器相同的用户身份。

正 确运用该特性,可以减少很多因为提供用户执行私有CGI或者SSI程序所带来的安全风险。但如果配置不当的话,则可能引起很多问题,使你的计算机产生更多 的安全漏洞。如果你对管理setuidroot程序以及可能导致的安全问题不熟悉的话,我们强烈建议你不要使用suEXEC。

看来最好的办法还是使用“在php.ini中禁用一些危险的php函数和在Apache虚拟主机中配置php_admin_value”的方式来做虚拟主机的安全。

关 于Nginx的配置文件,参考了很多资料,好像是不支持php_admin_valueopen_basedir,也就是Nginx暂时还没有 Apache的php_myadmin_value这类的设置。如果用Nginx做虚拟主机,各用户之间的目录安全控制如何来做呢?网上很多人说,限制 上传文件类型,做好程序安全不就行了么?对,对于自己的站点来说这样完全可以。但如果虚拟主机是给别人用的,又给予了FTP权限,总不能不让人上传php 文件吧。参考以上,如果用Nginx来做虚拟主机,目前看来安全的配置方法是:


1、用低权限账号运行Nginx。

2、在php.ini中禁用危险的函数。如:system,passthru,shell_exec,exec,popen,proc_open,chroot,scandir,chgrp,chown等,但禁止太多的函数可能对某些php程序的正常运行产生影响。

3、 在php.ini中设置open_basedir,如:open_basedir="/usr/local/webserver/nginx /html/www.xpb.cn_7da347bc1a9fd621/:/usr/local/webserver/nginx/html/www2.xpb.cn_7da347bc1a9fd621/"

4、各个虚拟主机用户放在不易于猜到的目录,如:、www2.xpb.cn_7da347bc1a9fd621

5、自己找一个php木马,自我测试服务器安全!

另外,暂时还未发现专门针对Nginx的虚拟主机管理软件,如果有知道的可以麻烦说下。

看来,在虚拟主机上还是Apache是王道,几乎所有的虚拟主机提供商的专业PHP虚拟主机仍然采用Apache。期待Nginx能够尽快完善这方面的功能设置!有更好解决方法的,也烦请告知。

顺 便提示一下,并非用apache就安全,也并非用linux就安全。在windows下使用Apache,务必配置一下open_basedir,甚至 Apache运行权限,因为默认Apache是以system权限运行的,如果站点一旦被上传木马,则会十分危险,当然Linux下的也要设置一下,相信 熟悉linux的都应当熟悉,不再赘述。

关于Nginx:

1、简介
Nginx("enginex")是一个高性能的HTTP和反向代理服务器,也是一个IMAP/POP3/SMTP代理服务器。

Nginx是由IgorSysoev为俄罗斯访问量第二的Rambler.ru站点开发的,它已经在该站点运行超过两年半了

。Igor将源代码以类BSD许可证的形式发布。尽管还是测试版,但是,Nginx已经因为它的稳定性、丰富的功能

集、示例配置文件和低系统资源的消耗而闻名了。
更多的请见官方wiki:

2、Nginx的优点

nginx做为HTTP服务器,有以下几项基本特性:
1)处理静态文件,索引文件以及自动索引;打开文件描述符缓冲.
2)无缓存的反向代理加速,简单的负载均衡和容错.
3)FastCGI,简单的负载均衡和容错.
4)模块化的结构。包括gzipping,byteranges,chunkedresponses,以及SSI-filter等filter。如

果由FastCGI或其它代理服务器处理单页中存在的多个SSI,则这项处理可以并行运行,而不需要相互等待。
5)支持SSL和TLSSNI.

Nginx专为性能优化而开发,性能是其最重要的考量,实现上非常注重效率。它支持内核Poll模型,能经受

高负载的考验,有报告表明能支持高达50,000个并发连接数。

Nginx 具有很高的稳定性。其它HTTP服务器,当遇到访问的峰值,或者有人恶意发起慢速连接时,也很可能会导致服务器物理内存耗尽频繁交换,失去响应,只能重启 服务器。例如当前apache一旦上到200个以上进程,web响应速度就明显非常缓慢了。而Nginx采取了分阶段资源分配技术,使得它的CPU与内存 占用率非常低。nginx官方表示保持10,000个没有活动的连接,它只占2.5M内存,所以类似DOS这样的攻击对nginx来说基本上是毫无用处 的。就稳定性而言,nginx比lighthttpd更胜一筹。

Nginx支持热部署。它的启动特别容易,并且几乎可以做到7*24不间断运行,即使运行数个月也不需要重新启动。你还能够在不间断服务的情况下,对软件版本进行进行升级。

Nginx采用master-slave模型,能够充分利用SMP的优势,且能够减少工作进程在磁盘I/O的阻塞延迟。当采用select()/poll()调用时,还可以限制每个进程的连接数。

声明:本文转载于网络,文章链接:http://www.nd9p.com/10.html