LINUX.ORG.RU

История изменений

Исправление Spoofing, (текущая версия) :

ставь пакеты: nginx php php-fpm

в /etc/nginx/nginx.conf есть директива http { }, внутри неё и пиши:

upstream php {
	ip_hash;
	server unix:/var/run/php-fpm.sock;
}

server {
	listen 80;

	server_name localhost;

	root /var/www/localhost/www;
	index index.html index.php;

	charset utf-8;

	location / {
		try_files $uri $uri/ /index.php$is_args$query_string;

		error_page 404 /404.html;
		error_page 500 502 503 504 /50x.html;

		location ~ \.php$ {
			try_files $uri =404;

			fastcgi_split_path_info ^(.+\.php)(/.+)$;
			fastcgi_intercept_errors on;

			fastcgi_pass php;
			fastcgi_index index.php;

			include fastcgi.conf;
		}
	}
}

теперь в /etc/php/php-fpm.conf (или подобном) допиши одну единственную строку include=/etc/php-fpm.d/*.conf

создай директорию /etc/php-fpm.d, внутри неё создай файлик, например /etc/php-fpm.d/localhost.conf

в нём пиши

[nobody]
user = nobody
group = nobody

listen = /var/run/php-fpm.sock
listen.owner = www-data
listen.group = www-data

php_admin_value[disable_functions] = exec,shell_exec,system,passthru
php_admin_flag[allow_url_fopen] = off

pm = dynamic
pm.max_children = 5
pm.start_servers = 2
pm.min_spare_servers = 1
pm.max_spare_servers = 3
pm.max_requests = 500

chdir = /var/empty

создай директорию сайта, которая указана в конфиге nginx

# mkdir -p /var/www/localhost/www

создай тестовый файлик

# echo "<?php phpinfo(); ?>" > /var/www/localhost/www/index.php

запусти nginx и php-fpm

# service nginx start
# service php-fpm start

в зависимости от дистрибутива это могут быть systemctl start nginx и т.п.

попробуй зайти http://localhost

к вопросу безопаности.

nginx работает с правами пользователя в зависимости от дистрибутива: в Debian это www-data, в Arch Linux это http.

php-fpm работает с правами пользователя nobody, а так же в listen.owner и listen.group указан пользователь www-data — это права, с какими будет создан файл /var/run/php-fpm.sock, к которому должен подключаться nginx.

все страшные функции php запрещены на исполнение в конфиге, в случае, если хакер взломает твой сайт и получит доступ к исполнению php-кода, сделать он ничего не сможет т.к. у php права nobody и запускать программы на исполнение нельзя.

целевая система в безопасности, однако сайт взломщик всё равно дефейснит. не забывай делать бэкапы.

такая конфигурация называется по типу shared-хостинга, когда много сайтов находится в одной системе, на каждый сайт желательно создавать отдельного пользователя, затем копируешь конфигурацию /etc/php-fpm.d/localhost.conf, меняшь пользователя/группу nobody на другую и всё.

если захочешь фтп, то не сложно настроить так, чтобы каждый владелец сайта мог логиниться в свою /var/www/директорию-сайта/ и работать там. пиши если дойдёшь до этого и потребуется помощь.

Исходная версия Spoofing, :

ставь пакеты: nginx php php-fpm

в /etc/nginx/nginx.conf есть директива http { }, внутри неё и пиши:

upstream php {
	ip_hash;
	server unix:/var/run/php-fpm.sock;
}

server {
	listen 80;

	server_name localhost;

	root /var/www/localhost/www;
	index index.html index.php;

	charset utf-8;

	location / {
		try_files $uri $uri/ /index.php$is_args$query_string;

		error_page 404 /404.html;
		error_page 500 502 503 504 /50x.html;

		location ~ \.php$ {
			try_files $uri =404;

			fastcgi_split_path_info ^(.+\.php)(/.+)$;
			fastcgi_intercept_errors on;

			fastcgi_pass php;
			fastcgi_index index.php;

			include fastcgi.conf;
		}
	}
}

теперь в /etc/php/php-fpm.conf (или подобном) допиши одну единственную строку include=/etc/php-fpm.d/*.conf

создай директорию /etc/php-fpm.d, внутри неё создай файлик, например /etc/php-fpm.d/localhost.conf

в нём пиши

[nobody]
user = nobody
group = nobody

listen = /var/run/php-fpm.sock
listen.owner = www-data
listen.group = www-data

php_admin_value[disable_functions] = exec,shell_exec,system,passthru
php_admin_flag[allow_url_fopen] = off

pm = dynamic
pm.max_children = 5
pm.start_servers = 2
pm.min_spare_servers = 1
pm.max_spare_servers = 3
pm.max_requests = 500

chdir = /

создай директорию сайта, которая указана в конфиге nginx

# mkdir -p /var/www/localhost/www

создай тестовый файлик

# echo "<?php phpinfo(); ?>" > /var/www/localhost/www/index.php

запусти nginx и php-fpm

# service nginx start
# service php-fpm start

в зависимости от дистрибутива это могут быть systemctl start nginx и т.п.

попробуй зайти http://localhost

к вопросу безопаности.

nginx работает с правами пользователя в зависимости от дистрибутива: в Debian это www-data, в Arch Linux это http.

php-fpm работает с правами пользователя nobody, а так же в listen.owner и listen.group указан пользователь www-data — это права, с какими будет создан файл /var/run/php-fpm.sock, к которому должен подключаться nginx.

все страшные функции php запрещены на исполнение в конфиге, в случае, если хакер взломает твой сайт и получит доступ к исполнению php-кода, сделать он ничего не сможет т.к. у php права nobody и запускать программы на исполнение нельзя.

целевая система в безопасности, однако сайт взломщик всё равно дефейснит. не забывай делать бэкапы.

такая конфигурация называется по типу shared-хостинга, когда много сайтов находится в одной системе, на каждый сайт желательно создавать отдельного пользователя, затем копируешь конфигурацию /etc/php-fpm.d/localhost.conf, меняшь пользователя/группу nobody на другую и всё.

если захочешь фтп, то не сложно настроить так, чтобы каждый владелец сайта мог логиниться в свою /var/www/директорию-сайта/ и работать там. пиши дойдёшь до этого и потребуется помощь.