共计 6203 个字符,预计需要花费 16 分钟才能阅读完成。
在 Nginx 与 php 环境下,务必要设置好 Nginx 目录权限,安全的目录权限设置,将是网站安全的一道屏障,有需要的朋友做个参考吧。
配置权限的原则是,在保证网站正常运行下,尽量给最低权限。
nginx 目录权限配置:
1、nginx 进程用户是默认用户 wwwboy;(暂时还不知道 nginx 进程用户会对服务器什么地方的权限有影响,配置 nginx 好像都没碰到权限设置问题)
2、php-fpm 进程用户配置为 wwwboy;
3、网站目录所有者设置为 ftpuser,由于需要在 FTP 中对网站文件进行下载(读取)、上传(写入),ftpuser 肯定对网站目录有读写权限。
关键点:php-fpm 子进程所使用的用户,不能是网站文件所有者。
网站文件所有者和 php-fpm 进程用户设为不同的好处是在 PHP 程序中无法对网站文件进行修改,这样即使网站被挂马了,也能降低很多损失,例如,对方无法在你的正常代码里混入后门。
以前总习惯性地把缓存目录权限设置为 777,这回既然注意到安全问题,就想顺便弄清楚一下缓存目录怎么设置才正确合理并安全。
其实,了解清楚 linux 文件权限分配方式,这个疑惑也就明朗了:
假设网站缓存目录名为 cache,其所有者为 ftpuser。缓存文件是由 php-fpm 进程执行写入,相当于用户 wwwboy 要在用户 ftpuser 的目录 cache 里写文件,不被允许的! 因此,要分配给 wwwboy 对 cache 目录的写权限,chmod o+w -R cache 即可,如果 ftpuser 与 wwwboy 同一个用户组,就 chmod g+w -R cache。缓存目录不需要执行权限,所以以往设置 777 权限的做法相当粗糙,不过在使用虚拟主机的时候,自己无法把握服务器上各种设置,777 也是最便捷做法了。
缓存目录需要 o +wx,添加 x 的原因是读取目录的时候需要执行权限,否则文件是写不成功的。除非要生成的文件和写文件的脚本在同一个目录内,不需要读取目录的权限,也就不需要执行权限。
CentOS 6.2 实战部署 Nginx+MySQL+PHP http://www.linuxidc.com/Linux/2013-09/90020.htm
使用 Nginx 搭建 WEB 服务器 http://www.linuxidc.com/Linux/2013-09/89768.htm
搭建基于 Linux6.3+Nginx1.2+PHP5+MySQL5.5 的 Web 服务器全过程 http://www.linuxidc.com/Linux/2013-09/89692.htm
CentOS 6.3 下 Nginx 性能调优 http://www.linuxidc.com/Linux/2013-09/89656.htm
CentOS 6.3 下配置 Nginx 加载 ngx_pagespeed 模块 http://www.linuxidc.com/Linux/2013-09/89657.htm
CentOS 6.4 安装配置 Nginx+Pcre+php-fpm http://www.linuxidc.com/Linux/2013-08/88984.htm
Nginx 搭建视频点播服务器(仿真专业流媒体软件)http://www.linuxidc.com/Linux/2012-08/69151.htm
原理:
On a directory, the execute permission (also called the “search bit”) allows
you to access files in the directory and enter it, with the cd command, for
example. However, note that although the execute bit lets you enter the
directory, you’re not allowed to list its contents, unless you also have the
read permissions to that directory.
目录访问权限设置
1. 目录列表(directory listing)
nginx 让目录中的文件以列表的形式展现只需要一条指令这样就不会返回 403
autoindex on;
autoindex 可以放在 location 中,只对当前 location 的目录起作用。你也可以将它放在 server 指令块则对整个站点都起作用。或者放到 http 指令块,则对所有站点都生效。
下面是一个简单的例子:
server {
listen 80;
server_name linuxidc.com www.linuxidc.com;
access_log /var/………………………;
root /var/www/html(www.linuxidc.net);
location / {
index index.php index.html index.htm;
}
location /api {
autoindex on;
}
}
更多详情见请继续阅读下一页的精彩内容:http://www.linuxidc.com/Linux/2014-06/103688p2.htm
2.nginx 禁止访问某个目录
跟 Apache 的 Deny from all 类似,nginx 有 deny all 指令来实现。
禁止对叫 dirdeny 目录的访问并返回 403 Forbidden,可以使用下面的配置:
location /dirdeny {
deny all;
return 403;
}
autoindex_exact_size off;// 人性化方式显示文件大小否则以 byte 显示
autoindex_localtime on;// 按服务器时间显示,否则以 gmt 时间显示,gmt 时间指格林尼治时间
autoindex_exact_size off;
默认为 on,显示出文件的确切大小,单位是 bytes。
改为 off 后,显示出文件的大概大小,单位是 kB 或者 MB 或者 GB
autoindex_localtime on;
默认为 off,显示的文件时间为 GMT 时间。
改为 on 后,显示的文件时间为文件的服务器时间
上传目录无执行权限
location ~ ^/upload/.*.(php|php5)$
{
deny all;
}
设置目录浏览
1、打开 /usr/local/nginx/conf/nginx.conf, 找到 WebServer 配置处, 加入以下内容:
location /soft/ {
root /var/www/; 此处为 soft 的上一级目录
autoindex on;
autoindex_exact_size off;
autoindex_localtime on;
}
登录权限认证
1、创建类 htpasswd 文件
[root@localhost Soft]#wget -c http://jafee.net/Soft/InstallPack/htpasswd.sh
[root@localhost Soft]#bash htpasswd.sh
提示输入用户名、密码、及认证文件名, 脚本会自动生成认证文件, 这里默认路径是保存在了 /usr/local/nginx/conf 下, 如果你的 nginx 目录不是这里, 可以修改 htpasswd.sh 替换你的 nginx 目录。
我这里是:/usr/local/nginx/conf/test.conf #记下此路径
2、为 Nginx 添加 auth 认证配置
location ^~ /soft/
{
auth_basic“MyPath Authorized”;
auth_basic_user_file /usr/local/nginx/conf/test.conf; #这里写前面脚本返回的文件路径;
}
#”MyPath Authorized”为提示信息,可以自行修改。
3、修改好配置后,重启 nginx,访问 http://localhost/soft/ 就会提示输入用户名和密码, 认证成功后, 即可列出目录。
4、需要注意的是,加上认证之后该目录下的 php 文件将不会被解析,会让你下载,如果要使其能够解析 php 可以将上面的配置改为:
location ^~ /soft/ {
location ~ .*.(php|php5)?$ {
fastcgi_pass unix:/tmp/php-cgi.sock;
fastcgi_index index.php;
include fcgi.conf;
}
auth_basic“Authorized users only”;
auth_basic_user_file /usr/local/nginx/conf/test.conf ;
}
有时候当 Nginx 读取本地目录时会收到 403 错误,权限问题。
先来了解一下 Nginx 的用户管理,Nginx 在以 Linux service 脚本启动时,通过 start-stop-domain 启动,会以 root 权限运行 daemon 进程。
然后 daemon 进程读取 /etc/nginx/nginx.conf 文件中的 user 配置选项,默认这里的 user=nginx
也就是用 nginx 用户启动 worker process。403 错误就是因为 nginx 用户没有权限访问我当前开发用的用户目录,/home/dean/work/resources。
解决方法是将 user=nginx 替换成 root,然后重新启动 nginx,可以了。
其他方法也试过,比如给 /home/dean/work/resources 目录设置 777 权限,比如将 nginx 用户加入 root 组,都不行。
所以当开发的时候,就用 user=root 配置吧。至于产品环境下,resouces 目录完全可以放到 nginx 用户目录下,所以问题不大。
以上便是对 nginx+php 网站目录权限安全设置的表述和理解,希望对大家有所帮助。
Nginx 的详细介绍:请点这里
Nginx 的下载地址:请点这里
在 Nginx 与 php 环境下,务必要设置好 Nginx 目录权限,安全的目录权限设置,将是网站安全的一道屏障,有需要的朋友做个参考吧。
配置权限的原则是,在保证网站正常运行下,尽量给最低权限。
nginx 目录权限配置:
1、nginx 进程用户是默认用户 wwwboy;(暂时还不知道 nginx 进程用户会对服务器什么地方的权限有影响,配置 nginx 好像都没碰到权限设置问题)
2、php-fpm 进程用户配置为 wwwboy;
3、网站目录所有者设置为 ftpuser,由于需要在 FTP 中对网站文件进行下载(读取)、上传(写入),ftpuser 肯定对网站目录有读写权限。
关键点:php-fpm 子进程所使用的用户,不能是网站文件所有者。
网站文件所有者和 php-fpm 进程用户设为不同的好处是在 PHP 程序中无法对网站文件进行修改,这样即使网站被挂马了,也能降低很多损失,例如,对方无法在你的正常代码里混入后门。
以前总习惯性地把缓存目录权限设置为 777,这回既然注意到安全问题,就想顺便弄清楚一下缓存目录怎么设置才正确合理并安全。
其实,了解清楚 linux 文件权限分配方式,这个疑惑也就明朗了:
假设网站缓存目录名为 cache,其所有者为 ftpuser。缓存文件是由 php-fpm 进程执行写入,相当于用户 wwwboy 要在用户 ftpuser 的目录 cache 里写文件,不被允许的! 因此,要分配给 wwwboy 对 cache 目录的写权限,chmod o+w -R cache 即可,如果 ftpuser 与 wwwboy 同一个用户组,就 chmod g+w -R cache。缓存目录不需要执行权限,所以以往设置 777 权限的做法相当粗糙,不过在使用虚拟主机的时候,自己无法把握服务器上各种设置,777 也是最便捷做法了。
缓存目录需要 o +wx,添加 x 的原因是读取目录的时候需要执行权限,否则文件是写不成功的。除非要生成的文件和写文件的脚本在同一个目录内,不需要读取目录的权限,也就不需要执行权限。
CentOS 6.2 实战部署 Nginx+MySQL+PHP http://www.linuxidc.com/Linux/2013-09/90020.htm
使用 Nginx 搭建 WEB 服务器 http://www.linuxidc.com/Linux/2013-09/89768.htm
搭建基于 Linux6.3+Nginx1.2+PHP5+MySQL5.5 的 Web 服务器全过程 http://www.linuxidc.com/Linux/2013-09/89692.htm
CentOS 6.3 下 Nginx 性能调优 http://www.linuxidc.com/Linux/2013-09/89656.htm
CentOS 6.3 下配置 Nginx 加载 ngx_pagespeed 模块 http://www.linuxidc.com/Linux/2013-09/89657.htm
CentOS 6.4 安装配置 Nginx+Pcre+php-fpm http://www.linuxidc.com/Linux/2013-08/88984.htm
Nginx 搭建视频点播服务器(仿真专业流媒体软件)http://www.linuxidc.com/Linux/2012-08/69151.htm
原理:
On a directory, the execute permission (also called the “search bit”) allows
you to access files in the directory and enter it, with the cd command, for
example. However, note that although the execute bit lets you enter the
directory, you’re not allowed to list its contents, unless you also have the
read permissions to that directory.
目录访问权限设置
1. 目录列表(directory listing)
nginx 让目录中的文件以列表的形式展现只需要一条指令这样就不会返回 403
autoindex on;
autoindex 可以放在 location 中,只对当前 location 的目录起作用。你也可以将它放在 server 指令块则对整个站点都起作用。或者放到 http 指令块,则对所有站点都生效。
下面是一个简单的例子:
server {
listen 80;
server_name linuxidc.com www.linuxidc.com;
access_log /var/………………………;
root /var/www/html(www.linuxidc.net);
location / {
index index.php index.html index.htm;
}
location /api {
autoindex on;
}
}
更多详情见请继续阅读下一页的精彩内容:http://www.linuxidc.com/Linux/2014-06/103688p2.htm