nginx+php-fpm是現(xiàn)在配置php環(huán)境非常流行的組合之一。nginx以其并發(fā)能力強，輕巧，速度快而受到非常多人的青睞，php-fpm以其安全，處理php速度快而成為與nginx的最佳組合。php-fpm提供有一個非常重要的功能chroot，它可以把指定的網(wǎng)站完完全全限制在一個目錄下，可以對系統(tǒng)和其它虛擬機起到很好的隔離效果，這對系統(tǒng)的安全無疑是加強了不少，下面介紹如何配置。

我們假設域名為www.dbjr.com.cn,網(wǎng)站根目錄為/home/chroot/www.dbjr.com.cn/web，需要把此網(wǎng)站限制在/home/chroot/www.dbjr.com.cn。

一、php-fpm.conf配置

打開php-fpm.conf文件，把chroot更改為chroot = /home/chroot/www.dbjr.com.cn

二、nginx配置

我們上面把www.dbjr.com.cn站點限制在了/home/chroot/www.dbjr.com.cn，所以對于php-fpm，此網(wǎng)站根目錄已經(jīng)變成是/web，所以我們需要更改nginx傳遞給php-fpm的網(wǎng)站根目錄地址。
找到fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;，更改為fastcgi_param SCRIPT_FILENAME /web$fastcgi_script_name;

三、一些目錄創(chuàng)建

四、修復解析

把www.dbjr.com.cn的php完全限制在一個目錄下后，導致了php無法解析域名，以32位系統(tǒng)為例(64位庫文件位置為lib64)下面是修復的步驟,

這樣php就可以解析域名了。

五、修復sendmail功能

同樣chroot目錄后，就無法發(fā)送郵件了，我們這里使用mini_sendmail代為發(fā)送郵件。同樣以32位系統(tǒng)為例。

六、與禁用函數(shù)相比，Chroot有什么優(yōu)點呢？

　　禁用函數(shù)是針對整個PHP程序而言的，所有需要通過PHP程序進行解析的文件，都會受到禁用函數(shù)的設置。網(wǎng)站程序不同，那么有可能需要的函數(shù)不同，不同的虛擬主機無法單獨設置。而Chroot可以根據(jù)不同的虛擬主機,進行特異化設置。對于需要使用特殊函數(shù)的程序，可以關閉Chroot，來保證網(wǎng)站程序的正常運轉；程序不需要調用特殊的程序，就可以開啟Chroot模式；如果只是要啟用一個或兩個特定的程序，你可以仿照如下的過程添加函數(shù)。比如說，當我們開啟Chroot時，PHP程序是無法使用sendmail()函數(shù)來發(fā)信的，我們可以使用mini_sendmail替代sendmail來修復發(fā)信。

七、有什么需要注意的呢？

Tips One:Chroot模式下，各種探針，如雅黑探針將會失效，報錯。

Tips Two:Chroot模式可用做在線shell模擬器，安全真實。

綜合以上分析，我建議，與其使用死板的禁用函數(shù)，我們?yōu)槭裁床辉囋嚫雍糜玫腃hroot。

最新評論