詳解nginx、php-fpm和mysql使用者權限

標籤：linu   實現   結果   子進程   配置到   ima   分享   入侵   範圍   

通常情況下，我們運行web應用的伺服器有CentOS、Ubuntu、Debian等等的Linux發行版本。這時候，構成服務架構所必須的Nginx、php和MySQL等應用的許可權控制就顯得非常重要，各個服務對代碼目錄的許可權要求各不相同，缺少某些許可權會造成服務無法讀寫或啟動並執行錯誤，降低了許可權要求又會存在被入侵修改的隱患。這裡我們就來總結一下nginx、php-fpm和mysql等等這些服務的許可權劃分。

 

一、web伺服器Nginx許可權

PHP的運行架構通常都是結合Nginx組成LNMP或者結合Apache組成LAMP的架構，這裡用Nginx作為例子講述一下Nginx服務運行所需要的許可權。
我們知道，Nginx本身不能解析PHP的文法，所以Nginx對於靜態檔案(如HTML等)會直接解析返回結果，但是對於PHP的檔案，Nginx會轉交給PHP的解譯器php-fpm進行處理，處理完後再返迴響應給用戶端瀏覽器。

因此，我們代碼目錄下需要統一Nginx和php的服務要求的權限。
①如果統一使用root使用者，則一般遊客賬戶無法訪問應用，而nginx配置成以root啟動並執行話會存在很大的安全隱患，一旦被攻擊就會被擷取root身份進行系統的一切操作。
②而如果統一將代碼目錄許可權全部設定為rwxrwxrwx，則存在使用者直接通過瀏覽器修改代碼目錄的隱患。

所以最好的辦法就是統一歸類到一個新的使用者組裡面，通過給該使用者組分配Nginx和php運行必要的許可權，來實現對web應用的許可權目錄管理。通常情況下，許多團隊都會把這個使用者組取名www，由www使用者來統一管理代碼目錄許可權。

我們可以看到Nginx的設定檔nginix.conf裡面劃分的運行許可權就是配置到了www使用者下，因此Nginx的子進程也是由www使用者執行，可以通過ps aux | grep nginx來查看：

可以看到nginx的主進程是root，其餘子進程均是www的使用者

nginx.conf的配置：

二、php的許可權配置

同樣的，php的運行方式也是由主進程root運行，在子進程池(pool)裡面配置由www使用者執行，具體配置在php根目錄下的etc\php-fpm.conf下，添加兩行：
user = www
group = www
即可，同樣用ps aux | grep php可以查看進程使用的使用者身份：

三、MySQL服務的許可權配置

通過ps aux | grep mysql可以看到MySQL服務是運行在mysql使用者下的，該服務只需要我們在php代碼串連mysql時帶上mysql的使用者名稱密碼即可，不需要統一為www，因為資料層需要與商務邏輯層隔離開，保證底層資料的安全。mysql的授權主要是在mysql服務內新增使用者和劃分許可權，用來控制php不同業務以不同許可權範圍的身份去串連，確保資料安全。

四、總結

nginx配置: 
user www www;

php-fpm: 
user = www
group = www

 

轉自：78615825?locationNum=8&fps=1

詳解nginx、php-fpm和mysql使用者權限