nginx+php-fpm是現(xiàn)在配置php環(huán)境非常流行的組合之一。nginx以其并發(fā)能力強(qiáng)，輕巧，速度快而受到非常多人的青睞，php-fpm以其安全，處理php速度快而成為與nginx的最佳組合。php-fpm提供有一個(gè)非常重要的功能chroot，它可以把指定的網(wǎng)站完完全全限制在一個(gè)目錄下，可以對(duì)系統(tǒng)和其它虛擬機(jī)起到很好的隔離效果，這對(duì)系統(tǒng)的安全無疑是加強(qiáng)了不少，下面介紹如何配置。

我們假設(shè)域名為chabaoo.cn,網(wǎng)站根目錄為/home/chroot/chabaoo.cn/web，需要把此網(wǎng)站限制在/home/chroot/chabaoo.cn。

一、php-fpm.conf配置

打開php-fpm.conf文件，把chroot更改為chroot = /home/chroot/chabaoo.cn

二、nginx配置

我們上面把chabaoo.cn站點(diǎn)限制在了/home/chroot/chabaoo.cn，所以對(duì)于php-fpm，此網(wǎng)站根目錄已經(jīng)變成是/web，所以我們需要更改nginx傳遞給php-fpm的網(wǎng)站根目錄地址。
找到fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;，更改為fastcgi_param SCRIPT_FILENAME /web$fastcgi_script_name;

三、一些目錄創(chuàng)建

四、修復(fù)解析

把chabaoo.cn的php完全限制在一個(gè)目錄下后，導(dǎo)致了php無法解析域名，以32位系統(tǒng)為例(64位庫文件位置為lib64)下面是修復(fù)的步驟,

這樣php就可以解析域名了。

五、修復(fù)sendmail功能

同樣chroot目錄后，就無法發(fā)送郵件了，我們這里使用mini_sendmail代為發(fā)送郵件。同樣以32位系統(tǒng)為例。

六、與禁用函數(shù)相比，Chroot有什么優(yōu)點(diǎn)呢？

　　禁用函數(shù)是針對(duì)整個(gè)PHP程序而言的，所有需要通過PHP程序進(jìn)行解析的文件，都會(huì)受到禁用函數(shù)的設(shè)置。網(wǎng)站程序不同，那么有可能需要的函數(shù)不同，不同的虛擬主機(jī)無法單獨(dú)設(shè)置。而Chroot可以根據(jù)不同的虛擬主機(jī),進(jìn)行特異化設(shè)置。對(duì)于需要使用特殊函數(shù)的程序，可以關(guān)閉Chroot，來保證網(wǎng)站程序的正常運(yùn)轉(zhuǎn)；程序不需要調(diào)用特殊的程序，就可以開啟Chroot模式；如果只是要啟用一個(gè)或兩個(gè)特定的程序，你可以仿照如下的過程添加函數(shù)。比如說，當(dāng)我們開啟Chroot時(shí)，PHP程序是無法使用sendmail()函數(shù)來發(fā)信的，我們可以使用mini_sendmail替代sendmail來修復(fù)發(fā)信。

七、有什么需要注意的呢？

Tips One:Chroot模式下，各種探針，如雅黑探針將會(huì)失效，報(bào)錯(cuò)。

Tips Two:Chroot模式可用做在線shell模擬器，安全真實(shí)。

綜合以上分析，我建議，與其使用死板的禁用函數(shù)，我們?yōu)槭裁床辉囋嚫雍糜玫腃hroot。

最新評(píng)論