LinuxEye

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

搜索
查看: 1403|回复: 2

php 关于chroot该怎么配置和增加攻击检查

[复制链接]

该用户从未签到

3

主题

7

帖子

39

积分

新手上路

Rank: 1

积分
39
发表于 2014-12-4 13:23:21 | 显示全部楼层 |阅读模式
本帖最后由 srainbow 于 2014-12-4 16:44 编辑

为了增加安全性,使用chroot能更好的防止跨站等风险f仔细看了php的安装脚本,php-fpm模块是没有安装apache的情况下才会安装。
在使用nginx+apache+php的情况下,可以配置php-fpm,使用chroot吗?该怎么配置呢?
比如,我在nginx+apache+php+mysql(CentOS7)环境下,安装discuz X3,2 使用ImageMagick时,需要将php执行权限打开,但这也增加了风险性。
所以如果能配置chroot,是否会更安全一些呢?
另外,能否增加一些根据日志来分析是否CC,DoS,ssh攻击的脚本命令。


另外觉得目前的一键安装包已经比较完美了,后面如果能增加安全配置方面的一些脚本配置 ,那就更好了。
可以将安全配置单独建一个脚本,以便有需要的选择安装。
回复

使用道具 举报

  • TA的每日心情
    开心
    2019-2-18 14:53
  • 签到天数: 71 天

    [LV.6]常住居民II

    98

    主题

    224

    帖子

    2781

    积分

    管理员

    Rank: 9Rank: 9Rank: 9

    积分
    2781
    发表于 2014-12-5 13:21:48 | 显示全部楼层
    nginx+apache+php(apache+php) 这种模式php是以模块(libphp5.so)依赖apache运行;你可以在apache上设置chroot (php_admin_value open_basedir)

    nginx+php(php)这种模式php是单独运行,php-fpm管理PHP fastcgi; 你可以在php.ini设置open_basedir ,不过从网上获取的资料来看,open_basedir会对php操作io的性能产生很大的影响。研究资料表明,配置了php_basedir的脚本io执行速度会比没有配置的慢10倍甚至更多,自己衡量吧

    配置方法可以参考:http://blog.linuxeye.com/351.html
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    3

    主题

    7

    帖子

    39

    积分

    新手上路

    Rank: 1

    积分
    39
     楼主| 发表于 2014-12-5 14:54:37 | 显示全部楼层
    哦,原来地版主早有文章,看来我得多翻翻博客了。

    提个建议,能否增加一个单独的安全设置脚本呢,毕竟对于类似我这样比如server不太熟悉的人来说,还是挺麻烦的。
    比如,建个discuz,想用ImageMagick,就不能在php.ini里禁用exec
    想用ucenter,就要不能禁用fsockopen,
    想要要一些大线备份工具,就要开放数据库和ftp权限
    怎么安全又方便,对于新手来说,还真是件头大的事件。
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    QQ|小黑屋|手机版|Archiver|LinuxEye

    GMT+8, 2019-11-14 19:16 , Processed in 1.050106 second(s), 29 queries , Gzip On.

    Powered by Discuz! X3.2

    © 2001-2013 Comsenz Inc.

    快速回复 返回顶部 返回列表