lnmp虛擬主機安全配置研究
0x00 背景
眾所周知,虛擬主機的安全不好做,特別是防止跨目錄成為了重點。apache+php伺服器防止跨目錄的方式比較簡單,網上的所有成熟虛擬主機解決方案都是基於apache的,如directadmin、cpanel。
但如今已然不是apache的時代了,在linux+nginx+mysql+php下怎麼防止不同虛擬主機進行跨站?
首先我們要清楚明白Nginx是怎麼執行的,再考慮怎麼具體操作吧。烏雲知識庫裡有一篇很好的文章/tips/?id=1323,介紹了nginx的安全配置,大家可以看看。
nginx實際上只是一個反向代理伺服器,它接收到請求以後會看當前請求是否是.php檔案,如果是則轉交給php-fpm來處理,獲得結果後再發給使用者。所以有兩個許可權需要考慮:第一是nginx的許可權,第二是php-fpm的許可權。如下圖,nginx和php-fpm都要讀取這個檔案,所以許可權分配是要考慮的重要一項。
防禦跨站要防禦的有三點,第一是防止其他使用者列網站目錄,防止自己的一些敏感檔名被看到及訪問;第二是防止其他使用者讀取自己的檔案,防止配置資訊洩露;第三就是防止其他使用者寫shell在自己目錄。
php顯然也考慮到了這個問題,其配置檔案中的open_basedir,是一個目錄列表,只允許php訪問其中給出的目錄。透過設定這個open_basedir我們就可以防禦php讀寫web目錄以外的檔案,比如/etc/passwd之類的。
但現在的問題是,open_basedir是寫在php.ini中的一個配置檔案,而所有虛擬主機使用的php是同一個php,我們可以防止php訪問web目錄以外的檔案,但是沒法防止“虛擬主機1”訪問“虛擬主機2”的檔案,因為二者都在web目錄內。甚至還有一個更大的問題是,很多版本php的open_basedir並不靠譜,能被很容易地繞過。
這是現在遇到的問題。解決方法就是:讓每個虛擬主機用不同使用者來單獨啟動php-fpm。
為了實現上面方法,我們需要對安裝好的lnmp做些修改。(我使用的就是國內用的比較廣的"lnmp一鍵安裝包")。
0x01 lNMP加固
比如我們伺服器上有兩個虛擬主機game01.com和game02.com,其目錄分別是 /home/wwwroot/game01/和/home/wwwroot/game02/。
這裡說一下,新版的lnmp一鍵安裝包有自帶的防跨站功能,是因為php 5.3.3以後,可以在php.ini末尾加上類似如下語句:
[HOST=www.vpser.net]
open_basedir=/home/wwwroot/www.vpser.net/:/tmp/
[PATH=/home/wwwroot/www.vpser.net]
open_basedir=/home/wwwroot/www.vpser.net/:/tmp/
就可以給不同HOST賦予不同open_basedir。但是我們這裡不用這個方法,第一其限制php版本在5.3.3以上,第二open_basedir也是有侷限與漏洞的,不能完全依靠這個玩意。所以,虛擬主機建立好以後,來到/usr/local/php/etc/php.ini把這些內容註釋掉。(註釋符;)
首先,讓不同虛擬機器用不同php-fpm執行:
一、為每個站點建立php-fpm.pid檔案
cd /usr/local/php5/var/run
touch php-fpm-game01.pid
touch php-fpm-game02.pid
二、為每個站點建立php-fpm.conf檔案
cd /usr/local/php5/etc/
cp php-fpm.conf php-fpm-game01.conf
cp php-fpm.conf php-fpm-game02.conf
三、為每個站點建立php-cgi.sock檔案
touch /tmp/php-cgi-game01.sock #建立php-cgi.sock檔案
chown www.www /tmp/php-cgi-game01.sock #設定檔案所有者為www(必須與nginx的使用者一致)
touch /tmp/php-cgi-game02.sock
chown www.www /tmp/php-cgi-game02.sock
四、修改相關檔案
vi /usr/local/php5/etc/php-fpm-game01.conf
pid = run/php-fpm-game01.pid
listen =/tmp/php-cgi-game01.sock;
vi /usr/local/php5/etc/php-fpm-game02.conf
pid = run/php-fpm-game02.pid
listen =/tmp/php-cgi-game02.sock;
vi /etc/init.d/php-fpm
vhost=$2
php_fpm_CONF=${prefix}/etc/php-fpm-$vhost.conf
php_fpm_PID=${prefix}/var/run/php-fpm-$vhost.pid
php_opts="-d open_basedir=/home/wwwroot/$vhost/:/tmp/ --fpm-config $php_fpm_CONF"
上述最後一行,就是php-fpm執行的引數,其中我們將open_basedir設定成了/home/wwwroot/$vhost/:/tmp/,$vhost就是我們執行時傳入的第二個引數$2(game01或game02)。
繼續修改
vi /usr/local/nginx/conf/vhost/game01.com.conf # 配置檔名可能不一樣,要根據實際情況改變
fastcgi_pass unix:/tmp/php-cgi-game01.sock;
vi /usr/local/nginx/conf/vhost/game02.com.conf
fastcgi_pass unix:/tmp/php-cgi-game02.sock;
五.增加開機啟動項
vi /home/start.sh
# !/bin/bash
auto=$1 /bin/bash /etc/rc.d/init.d/php-fpm $auto game01 /bin/bash /etc/rc.d/init.d/php-fpm $auto game02
chmod +x /home/start.sh
然後編輯/etc/rc.local 將start.sh加入啟動項。 到此,不同虛擬主機就會以執行不同的php-fpm。我們還需要用不同的使用者身份來執行。
groupadd game01 groupadd game02
useradd game01 -M -s /sbin/nologin -g game01
useradd game02 -M -s /sbin/nologin -g game02
新增了game01.game01和game02.game02兩個使用者。 修改/usr/local/php/etc/php-fpm-game01.conf:
listen.owner = game01
listen.group = game01
user=game01
group=game01
game02同理修改。這樣我們就讓php-fpm以不同使用者來執行了。
再來到/home/wwwroot/:
cd /home/wwwroot/
chown game01.game01 -R game01
chown game02.game02 -R game02
將game01和game02資料夾分別給予使用者game01和game02。
再有,我們的nginx是預設以www使用者執行的,所以是不能讀取game01、game02使用者檔案的,如果把檔案許可權設定成777,又不能防止game01讀取game02的檔案。
所以,我們應該將www使用者加入game01、game02組,再把game01、game02的檔案設定成750許可權,這樣就可以允許www來讀取game01/game02的檔案(因為在同組,而組許可權是5,5就夠了),又能防止game01讀取game02的檔案。
linux中允許把一個使用者加入多個組,所以操作如下:
usermod -aG game01 www
usermod -aG game02 www
這時候。我們的防禦其實有兩層。
01.不同php-fpm執行兩個虛擬主機的php程式,他們擁有自己的open_basedir,使之不能跨目錄。
02.即使open_basedir被繞過了,以game01使用者身份執行的php-fpm也無法寫入、讀取game02的檔案,因為game02的所有檔案許可權都是750。其他使用者沒有任何許可權(0)。
一切設定好以後,說一下使用方法了。
0x02 使用方法
先kill掉已有的php-fpm,再重啟一下nginx,再/home/start.sh啟動新的php-fpm即可。
/etc/init.d/php-fpm start game01 單獨啟動game01
/etc/init.d/php-fpm start game02 單獨啟動game02
/etc/init.d/php-fpm stop game01 單獨啟動game01
/etc/init.d/php-fpm stop game02 單獨啟動game02
以上是我拼湊的一點方法,可能並不是最佳方法(我對nginx機制也是不熟悉,也許有更簡單的方法可以解決這個問題),所以也希望各大牛能分享自己運維的方法,指出我的不足
0x03 參考:
/tips/?id=1323
http://www.dedecms.com/knowledge/servers/linux-bsd/2012/0819/8389.html
http://yzs.me/2198.html
相關文章
- Nginx虛擬主機配置Nginx
- 虛擬機器與電腦主機網路配置虛擬機
- 福音 虛擬主機
- Nginx虛擬主機常用配置(學習筆記四)Nginx筆記
- 基於 LNMP 的 Nginx 百萬併發之路 (三)基於域名的虛擬主機LNMPNginx
- 主機ping不了虛擬機器虛擬機
- Linux虛擬主機與Windows虛擬主機之間有什麼區別LinuxWindows
- tomcat中虛擬主機以及web應用程式的配置TomcatWeb
- 在CentOS 8上安裝與配置Apache虛擬主機CentOSApache
- Nginx 虛擬主機配置的三種方式(基於域名)Nginx
- 虛擬機器(三)虛擬機器配置靜態Ip虛擬機
- nginx虛擬主機實戰Nginx
- 007.Nginx虛擬主機Nginx
- Tomcat—部署配置及優化(安裝部署;虛擬主機配置;優化)Tomcat優化
- 簡單介紹apache虛擬主機配置的三種方式Apache
- VMware虛擬機器如何設定使主機和虛擬機器不同IP虛擬機
- WordPress主機和共享虛擬主機不同在哪?
- 虛擬主機和vps主機使用哪些人群?
- 虛擬機器網路卡配置虛擬機
- 虛擬主機流量是什麼
- 什麼是虛擬主機流量
- BlueHost雲虛擬主機優勢
- 虛擬主機php.ini在哪PHP
- apache虛擬web主機構建ApacheWeb
- laravel7 開發的專案配置到虛擬主機上Laravel
- nginx伺服器配置多個虛擬主機vhost的方法示例Nginx伺服器
- 詳解Nginx 虛擬主機配置的三種方式(基於埠)Nginx
- 詳解Nginx 虛擬主機配置的三種方式(基於IP)Nginx
- 虛擬主機和VPS主機有哪些不同點呢
- Apache 虛擬主機裡的 ServerName 指令ApacheServer
- Centos 7 構建虛擬Web主機CentOSWeb
- 虛擬主機有哪些優缺點
- 阿里雲 虛擬主機 搭建官網阿里
- Linux虛擬機器網路配置Linux虛擬機
- 一、虛擬機器環境配置虛擬機
- 虛擬主機和VPS主機之間的幾點不同
- Apache 配置多個站點(虛擬主機)最簡單的辦法Apache
- VM 虛擬機器linux從主機複製檔案到虛擬機器錯誤虛擬機Linux