Web做事器:Nginx1.4.6
Php版本:Php5.4.26
Nginx先容nginx本身不能处理PHP,它只是个web做事器,当吸收到要求后,如果是php要求,则发给php阐明器处理,并把结果返回给客户端。nginx一样平常是把要求发fastcgi管理进程处理,fastcgi管理进程选择cgi子进程处理结果并返回被nginx。
nginx涉及到两个账户,一个是nginx的运行账户,一个是php-fpm的运行账户。如果访问的是一个静态文件,则只须要nginx的运行账户对文件具有读取权限;而如果访问的是一个php文件,则首先须要nginx的运行账户对文件有读取权限,读取到文件后创造是一个php文件,则转发给php-fpm,此时则须要php-fpm账户对文件具有读取权限。
研究创造的结论1.linux下,要读取一个文件,首先须要具有对文件所在文件夹的实行权限,然后须要对文件的读取权限。
2.php文件的实行不须要文件的实行权限,只须要nginx和php-fpm运行账户的读取权限。
3.上传木马后,能不能列出一个文件夹的内容,跟php-fpm的运行账户对文件夹的读取权限有关。
4.木马实行命令的权限跟php-fpm的账户权限有关。
5.如果木马要实行命令,须要php-fpm的账户对相应的sh有实行权限。
6.要读取一个文件夹内的文件,是不须要对文件夹有读取权限的,只须要对文件夹有实行权限。
Nginx做事器涉及到的安全配置1.Nginx.conf的配置
2.php-fpm.conf的配置
3.nginx和php-fpm的运行账户对磁盘的权限配置
4.Php.ini的配置
常见须要配置的操作方法1. 禁止一个目录的访问
示例:禁止访问path目录
location ^~ /path {
deny all;
}
可以把path换成实际须要的目录,目录path后是否带有"/",带"/"会禁止访问该目录和该目录下所有文件。不带"/"的情形就有些繁芜了,只要目录开头匹配上那个关键字就会禁止;把稳要放在fastcgi配置之前。
2. 禁止php文件的访问及实行
示例:去掉单个目录的PHP实行权限
location ~ /attachments/.\.(php|php5)?$ {
deny all;
}
示例:去掉多个目录的PHP实行权限
location ~
/(attachments|upload)/.\.(php|php5)?$ {
deny all;
}
3. 禁止IP的访问
示例:禁止IP段的写法:
deny 10.0.0.0/24;
示例:只许可某个IP或某个IP段用户访问,其它的用户全都禁止
allow
x.x.x.x;
allow 10.0.0.0/24;
deny all;
须要办理的常见问题1. 让木立时传后不能实行
针对上传目录,在nginx配置文件中加入配置,使此目录无法解析php。
2. 让木马实行后看不到非网站目录文件
取消php-fpm运行账户对付其他目录的读取权限。
3. 木马实行后命令不能实行
取消php-fpm账户对付sh的实行权限。
4. 命令实行后权限不能过高
Php-fpm账户不要用root或者加入root组。
Nginx安全配置方案1. 修正网站目录所有者为非php-fpm运行账户,此处修正所有者为root。
命令:
#!bash
chown -R root:root html/
2. 修正nginx及php-fpm的运行账户及组为nobody
nginx.conf
Php-fpm.conf
3. 取消nobody对所有目录的的读取权限,然后添加对网站目录的读取权限
命令:
#!bash
chmod o-r –R /
chmod o+r –R html/
4. 取消nobody对付/bin/sh 的实行权限
chmod 776 /bin/sh
5. 确认网站目录对付nobody的权限为可读可实行,对网站文件的权限为可读
6. 对付上传目录或者写入写文件的目录添加nobody的写入权限
7. 配置nginx.conf 对付上传目录无php的实行权限
8. 配置nginx.conf禁止访问的文件夹,如后台,或者限定访问ip
9. 配置nginx.conf禁止访问的文件类型,如一些txt日志文件
