CentOS 7上PHP默認是以apache或者nobody的身份運行的，這種方式下由于PHP運行需要的權(quán)限比較大，會有安全隱患，還可能會受到服務(wù)器其他用戶影響。

SuPHP是一個apache模塊，允許PHP在與Apache用戶不同的Linux用戶之下。 這可以提高托管網(wǎng)站的安全性，因為您可以在其他用戶下運行每個網(wǎng)站的PHP腳本。 本教程介紹了從源代碼安裝的CentOS 7.2上的SuPHP，因為CentOS 7.2沒有可用的SuPHP軟件包。

先決條件

您將安裝CentOS 7.2或更高版本的服務(wù)器，我將使用本教程作為我的設(shè)置的基礎(chǔ)。 在第一章中，我將安裝Apache Web服務(wù)器。 如果您已經(jīng)安裝了apache，請立即從第2章開始。

我的服務(wù)器將使用hostname server1.example.com和IP地址192.168.1.100。 在以下教程中將這些值替換為服務(wù)器的主機名和IP地址。

為安全起見，建議安裝防火墻，如果您還沒有安裝防火墻，可以使用以下命令進行安裝：

yum -y install firewalld

啟動防火墻并使其在啟動時啟動。

systemctl start firewalld.service
systemctl enable firewalld.service

接下來，打開您的SSH端口，以確保您能夠通過SSH連接到服務(wù)器。

firewall-cmd --permanent --zone=public --add-service=ssh
firewall-cmd --reload

1、安裝Apache 2.4和PHP 5

Apache和PHP在CentOS基礎(chǔ)存儲庫中可用，因此我們可以使用yum安裝這兩個軟件包。

安裝Apache和Aapache開發(fā)包，其中包含以后的SuPHP編譯所需的文件。

yum -y install httpd httpd-devel

PHP安裝（我添加了一些常用的PHP模塊）：

yum -y install php php-mysql php-gd php-pear php-xml php-xmlrpc php-mbstring curl

我們必須使Apache能夠在引導(dǎo)時啟動并啟動服務(wù)。

systemctl start httpd.service
systemctl enable httpd.service

我們必須打開HTTP（80）和HTTPS（443）端口，使得Web服務(wù)器可以從其他計算機訪問。 執(zhí)行以下命令配置防火墻。

firewall-cmd --permanent --zone=public --add-service=http
firewall-cmd --permanent --zone=public --add-service=https
firewall-cmd --reload

2、安裝SuPHP

在此步驟中，我們將從源代碼編譯SuPHP。 安裝開發(fā)工具來設(shè)置所需的構(gòu)建鏈。

yum -y groupinstall 'Development Tools'

并且wget可以下載源文件和nano編輯器。

yum -y install wget nano

下載SuPHP源tar.gz存檔并解壓縮它。

cd /usr/local/src
wget http://suphp.org/download/suphp-0.7.2.tar.gz
tar zxvf suphp-0.7.2.tar.gz

CentOS 7使用Apache 2.4，所以我們必須補丁suphp，然后我們可以編譯它aganst Apache。 補丁應(yīng)用如下：

wget -O suphp.patch https://lists.marsching.com/pipermail/suphp/attachments/20130520/74f3ac02/attachment.patch
patch -Np1 -d suphp-0.7.2 < suphp.patch
cd suphp-0.7.2
autoreconf -if

[root @ server1 suphp-0.7.2]＃autoreconf -if
libtoolize：將輔助文件放在AC_CONFIG_AUX_DIR，`config'中。
libtoolize：復(fù)制文件`config / ltmain.sh'
libtoolize：考慮將`AC_CONFIG_MACRO_DIR（[m4]）'添加到configure.ac和
libtoolize：重新運行l(wèi)ibtoolize，以保持正確的libtool宏in-tree。
libtoolize：考慮在Makefile.am中的ACLOCAL_AMFLAGS中添加`-I m4'。
configure.ac:9：warning：AM_INIT_AUTOMAKE：不支持雙參數(shù)和三參數(shù)形式。 有關(guān)更多信息，請參閱：
configure.ac:9：http://www.gnu.org/software/automake/manual/automake.html#Modernize-AM_005fINIT_005fAUTOMAKE-invocation
configure.ac:24：安裝'config / config.guess'
configure.ac:24：安裝'config / config.sub'
configure.ac:9：安裝'config / install-sh'
configure.ac:9：安裝'config / missing'
src / Makefile.am：安裝'config / depcomp'
[root @ server1 suphp-0.7.2]＃

autoreconf命令應(yīng)用補丁，現(xiàn)在我們可以如下配置新的源。 注意： configure命令是一行！

./configure --prefix=/usr/ --sysconfdir=/etc/ --with-apr=/usr/bin/apr-1-config --with-apache-user=apache --with-setid-mode=owner --with-logfile=/var/log/httpd/suphp_log

然后編譯并安裝SuPHP。

make
make install

然后通過添加一個新的suphp.conf文件將suPHP模塊添加到Apache配置中。

nano /etc/httpd/conf.d/suphp.conf

具有以下內(nèi)容。

LoadModule suphp_module modules/mod_suphp.so

...并創(chuàng)建文件/etc/suphp.conf如下：

nano /etc/suphp.conf

[global]
;Path to logfile
logfile=/var/log/httpd/suphp.log
;Loglevel
loglevel=info
;User Apache is running as
webserver_user=apache
;Path all scripts have to be in
docroot=/
;Path to chroot() to before executing script
;chroot=/mychroot
; Security options
allow_file_group_writeable=true
allow_file_others_writeable=false
allow_directory_group_writeable=true
allow_directory_others_writeable=false
;Check wheter script is within DOCUMENT_ROOT
check_vhost_docroot=true
;Send minor error messages to browser
errors_to_browser=false
;PATH environment variable
env_path=/bin:/usr/bin
;Umask to set, specify in octal notation
umask=0077
; Minimum UID
min_uid=100
; Minimum GID
min_gid=100

[handlers]
;Handler for php-scripts
x-httpd-suphp="php:/usr/bin/php-cgi"
;Handler for CGI-scripts
x-suphp-cgi="execute:!self"

最后，我們重新啟動Apache：

systemctl restart httpd.service

3、使用SuPHP配置Apache Vhost

在本章中，我將介紹如何在單獨的用戶下運行PHP的apache中添加虛擬主機。 我將使用域名www.example.com作為網(wǎng)站，PHP將作為用戶和組“ web1 ”運行，網(wǎng)站的文檔根目錄是/var/www/example.com

首先，添加一個新的用戶和組“web1”。

useradd web1

添加網(wǎng)站根目錄。

mkdir /var/www/example.com
chown web1:web1 /var/www/example.com

現(xiàn)在在apache conf.d目錄中添加虛擬主機配置文件。

nano /etc/httpd/conf.d/example.com.conf

為此內(nèi)容：

<VirtualHost *>
 DocumentRoot /var/www/example.com
 ServerName example.com
 ServerAdmin webmaster@example.com
 
 <FilesMatch ".+\.ph(p[345]?|t|tml)$">
 SetHandler None
 </FilesMatch>
 
 <IfModule mod_suphp.c>
 suPHP_Engine on
 <FilesMatch "\.php[345]?$">
 SetHandler x-httpd-suphp
 </FilesMatch>
 suPHP_AddHandler x-httpd-suphp
 </IfModule>
</VirtualHost>

在ServerName和ServerAdmin行中用自己的域替換域名。

然后重新啟動apache來應(yīng)用配置更改。

systemctl restart httpd.service

4、測試SuPHP設(shè)置

在本章中，我將向您展示在本網(wǎng)站測試PHP的幾種方法。 首先，我將創(chuàng)建一個使用phpinfo()函數(shù)來顯示PHP是否正常工作的文件，并且現(xiàn)在是否以CGI模式運行。

用nano創(chuàng)建一個info.php文件：

nano /var/www/example.com/info.php

并將以下行添加到新文件中：

<?php
phpinfo();

然后將文件的所有者更改為web1用戶和組。

chown web1:web1 /var/www/example.com/info.php

在網(wǎng)絡(luò)瀏覽器中打開文件http://example.com/info.php的URL，它將顯示以下頁面。

重要的是顯示CGI / FastCGI的ServerAPI行。 這表明PHP是通過SuPHP而不是mod_php運行的。

現(xiàn)在我將測試PHP是否運行在正確的用戶（web1）下。 SuPHP如何知道使用哪個用戶？ SuPHP將PHP切換到擁有PHP腳本的用戶，因此我們的Web根文件夾/var/www/example.com中的所有PHP文件都由web1用戶和組擁有非常重要。

那么，如何測試PHP是否使用正確的用戶？ 一種方法是執(zhí)行返回用戶名的“whoami”命令。

我將在網(wǎng)站root中創(chuàng)建一個新腳本testuser.php：

nano /var/www/example.com/testuser.php

與此內(nèi)容：

<?php
system('whoami');

然后將文件的所有者更改為web1用戶和組。

chown web1:web1 /var/www/example.com/testuser.php

在web瀏覽器中打開http://example.com/testuser.php，結(jié)果應(yīng)該是： web1

SuPHP被配置并作為本網(wǎng)站的用戶執(zhí)行PHP文件。 從網(wǎng)站目錄中刪除測試文件，并開始添加您的網(wǎng)站腳本。

5、將此CentOS 7.2服務(wù)器下載為虛擬機

此設(shè)置可用于以ova / ovf格式（與VMWare和Virtualbox兼容）的虛擬機下載，以了解用戶的身份。

VM的登錄詳細信息

root密碼是：howtoing
“管理員”用戶的密碼是：howtoing
請在第一次登錄時更改兩個密碼。

虛擬機的IP地址為192.168.1.100

6、鏈接

CentOS

Apache Web服務(wù)器

SuPHP

最新評論