关于Nginx+PHP的虚拟主机目录权限控制的探究

Nginx的使用者最近越来越多，很多大型网站也都从Apache或其他平台迁移到了Nginx。但在我使用Nginx的过程中有个问题一直未得到解决，就是如何限制Nginx+PHP的目录权限

我们知道，在Apache中可以很容易的对虚拟目录进行权限控制，如：

<VirtualHost www.xpb.cn>

    ServerAdmin xiaopb@live.com

    DocumentRoot /usr/www/xpb/

    ServerName www.xpb.cn:80

    ServerAlias www.xpb.cn

    ErrorLog logs/default-error_log

    php_admin_value open_basedir "/tmp/:/usr/www/xpb/"

</VirtualHost>

关键是后面的这句php_admin_value，这样就限制了php的操作目录仅限于/tmp/和/usr/www/xpb/这两个目录了。对于Apache虚拟主机来说，这个设置十分有用，结合在php.ini中禁用一些php函数，几乎可以杜绝PHP木马对其他站点及系统的危害。我虽没专业做过Linux下的虚拟主机，但相信各大虚拟主机商也是这么做的。

 

    看来对于Apache最好的办法还是使用“在php.ini中禁用一些危险的php函数和在Apache虚拟主机中配置php_admin_value”的方式来做虚拟主机的安全。

 

   关于Nginx的配置文件，参考了很多资料，好像是不支持php_admin_value open_basedir，也就是Nginx暂时还没有Apache的php_myadmin_value这类的设置。如果用Nginx做虚拟主机，各用户之间的目录安全控制如何来做呢？网上很多人说，限制上传文件类型，做好程序安全不就行了么？对，对于自己的站点来说这样完全可以。但如果虚拟主机是给别人用的，又给予了FTP权限，总不能不让人上传php 文件吧。参考以上，如果用Nginx来做虚拟主机，目前看来安全的配置方法是：

 

、用低权限账号运行Nginx。

 

2、在php.ini中禁用危险的函数。如：system,passthru,shell_exec,exec,popen,proc_open,chroot,scandir,chgrp,chown等，但禁止太多的函数可能对某些php程序的正常运行产生影响。

 

3、在php.ini中设置open_basedir,如：open_basedir = "/usr/local/webserver/nginx /html/www.xpb.cn_7da347bc1a9fd621/:/usr/local/webserver/nginx/html/www2.xpb.cn_7da347bc1a9fd621/"

 

4、各个虚拟主机用户放在不易于猜到的目录，如：www.xpb.cn_7da347bc1a9fd621、www2.xpb.cn_7da347bc1a9fd621

 

5、自己找一个php木马，自我测试服务器安全！

 

6   在运行spawn-fcgi 的时候带上参数-d open_basedir 即可，例如：/usr /sbin/spawn-fcgi -a 127.0.0.1 -p 10080 -C 20 -u www -f "/usr/sbin/php-cgi -d open_basedir=/var/www/wwwroot/:/tmp/"

 

7   先来看两份配置文件的部分，只跟大家讲原理，省略了和主题无关的部分，请勿复制就用，明白了原理，就知道该怎么做了。

 

php.ini

; open_basedir, if set, limits all file operations to the defined directory

; and below.  This directive makes most sense if used in a per-directory

; or per-virtualhost web server configuration file. This directive is

; *NOT* affected by whether Safe Mode is turned On or Off.

open_basedir = "/myserver/:/tmp/:/var/tmp/"

nginx.conf

http

{

         server

        {

                listen 80;

                server_name  host1.com;

                root /myserver/host1;

 

                location ~ .*/.(php|php5)?$

                {

                         #fastcgi_pass  unix:/tmp/php-cgi.sock;

                         fastcgi_pass  127.0.0.1:9000;

                         fastcgi_index index.php;

                         include fcgi.conf;

                }

        }

         server

        {

                listen 80;

                server_name  host2.com;