Bảo mật PHP-FPM/Nginx trong môi trường Shared Hosting

t may not be a good idea to use 
the .php extension or it 
; may conflict with a real PHP file. 
; Default Value: not set 
;pm.status_path = /status 
; The ping URI to call the monitoring page of FPM. If 
this value is not set, no 
; URI will be recognized as a ping page. This could be 
used to test from outside 
; that FPM is alive and responding, or to 
; - create a graph of FPM availability (rrd or such); 
; - remove a server from a group if it is not 
responding (load balancing); 
; - trigger alerts for the operating team (24/7). 
; Note: The value must start with a leading slash (/). 
The value can be 
; anything, but it may not be a good idea to use 
the .php extension or it 
; may conflict with a real PHP file. 
; Default Value: not set 
;ping.path = /ping 
; This directive may be used to customize the response 
of a ping request. The 
; response is formatted as text/plain with a 200 
response code. 
; Default Value: pong 
;ping.response = pong 
; The timeout for serving a single request after which 
the worker process will 
; be killed. This option should be used when the 
'max_execution_time' ini option 
; does not stop script execution for some reason. A 
value of '0' means 'off'. 
; Available units: s(econds)(default), m(inutes), 
h(ours), or d(ays) 
; Default Value: 0 
;request_terminate_timeout = 0 
; The timeout for serving a single request after which 
a PHP backtrace will be 
; dumped to the 'slowlog' file. A value of '0s' means 
'off'. 
; Available units: s(econds)(default), m(inutes), 
h(ours), or d(ays) 
; Default Value: 0 
;request_slowlog_timeout = 0 
; The log file for slow requests 
; Default Value: not set 
; Note: slowlog is mandatory if request_slowlog_timeout 
is set 
;slowlog = log/$pool.log.slow 
; Set open file descriptor rlimit. 
; Default Value: system defined value 
;rlimit_files = 1024 
; Set max core size rlimit. 
; Possible Values: 'unlimited' or an integer greater or 
equal to 0 
; Default Value: system defined value 
;rlimit_core = 0 
; Chroot to this directory at the start. This value 
must be defined as an 
; absolute path. When this value is not set, chroot is 
not used. 
; Note: you can prefix with '$prefix' to chroot to the 
pool prefix or one 
; of its subdirectories. If the pool prefix is not set, 
the global prefix 
; will be used instead. 
; Note: chrooting is a great security feature and 
should be used whenever 
; possible. However, all PHP paths will be 
relative to the chroot 
; (error_log, sessions.save_path, ...). 
; Default Value: not set 
;chroot = 
; Chdir to this directory at the start. 
; Note: relative path can be used. 
; Default Value: current directory or / when chroot 
chdir = / 
; Redirect worker stdout and stderr into main error 
log. If not set, stdout and 
; stderr will be redirected to /dev/null according to 
FastCGI specs. 
; Note: on highloaded environement, this can cause some 
delay in the page 
; process time (several ms). 
; Default Value: no 
;catch_workers_output = yes 
; Pass environment variables like LD_LIBRARY_PATH. All 
$VARIABLEs are taken from 
; the current environment. 
; Default Value: clean env 
;env[HOSTNAME] = $HOSTNAME 
;env[PATH] = /usr/local/bin:/usr/bin:/bin 
;env[TMP] = /tmp 
;env[TMPDIR] = /tmp 
;env[TEMP] = /tmp 
; Additional php.ini defines, specific to this pool of 
workers. These settings 
; overwrite the values previously defined in the 
php.ini. The directives are the 
; same as the PHP SAPI: 
; php_value/php_flag - you can set 
classic ini defines which can 
; be overwritten 
from PHP call 'ini_set'. 
; php_admin_value/php_admin_flag - these directives 
won't be overwritten by 
; PHP call 
'ini_set' 
; For php_*flag, valid values are on, off, 1, 0, true, 
false, yes or no. 
; Defining 'extension' will load the corresponding 
shared extension from 
; extension_dir. Defining 'disable_functions' or 
'disable_classes' will not 
; overwrite previously defined php.ini values, but will 
append the new value 
; instead. 
; Note: path INI options can be relative and will be 
expanded with the prefix 
; (pool, global or /usr) 
; Default Value: nothing is defined by default except 
the values in php.ini and 
; specified at startup with the -d 
argument 
;php_admin_value[sendmail_path] = /usr/sbin/sendmail -t 
-i -f www@my.domain.com 
;php_flag[display_errors] = off 
;php_admin_value[error_log] = /var/log/fpm-php.www.log 
;php_admin_flag[log_errors] = on 
;php_admin_value[memory_limit] = 32M 
Trong đoạn code trên chúng ta sẽ thấy pool này sử dụng cổng 9000 trên localhost 
(127.0.0.1), và đang được chạy bởi user/group www-data. 
Tiếp theo hãy xem cấu hình PHP trong vhost của bạn: 
vi /etc/nginx/sites-available/example.com.vhost 
server { 
[...] 
 location ~ \.php$ { 
 try_files $uri =404; 
 fastcgi_pass 127.0.0.1:9000; 
 fastcgi_index index.php; 
 fastcgi_param SCRIPT_FILENAME 
$document_root$fastcgi_script_name; 
 fastcgi_param PATH_INFO 
$fastcgi_script_name; 
 include /etc/nginx/fastcgi_params; 
 } 
[...] 
} 
Ở đây quan trọng nhất là dòng fastcgi_pass 127.0.0.1:9000; có nghĩa 
là nginx sẽ thông qua PHP gửi yêu cầu tới tiến trình PHP-FPM “lắng nghe” cổng 
9000 trên localhost (127.0.0.1). Bạn cần ghi nhớ bởi đây là pool được định nghĩa 
trong /etc/php5/fpm/pool.d/www.conf, có nghĩa là các script PHP sẽ được thực thi 
như user/group www-data. 
Định nghĩa một Pool riêng biệt cho mỗi Website 
Ví dụ chúng tôi có một website là example.com được sở hữu bởi người dùng web1 
và nhóm client0, và muốn các script PHP thực thi như là user và group. Vì vậy 
chúng ta sẽ định nghĩa một pool mới /etc/php5/fpm/pool.d/example.com.conf: 
vi /etc/php5/fpm/pool.d/example.com.conf 
[example.com] 
listen = 127.0.0.1:9001 
listen.allowed_clients = 127.0.0.1 
user = web1 
group = client0 
pm = dynamic 
pm.max_children = 50 
pm.start_servers = 20 
pm.min_spare_servers = 5 
pm.max_spare_servers = 35 
chdir = / 
Như bạn thấy, pool này sẽ nghe trên cổng 9001 thay cho 9000, và chúng tôi có 
user là web1, gropu là client0. Bạn có thể định nghĩa nhiều pool nếu thích, nhưng 
cần lưu ý không sử dụng cùng một cổng. 
Khởi động lại PHP-FPM: 
/etc/init.d/php5-fpm reload 
Bây giờ chúng ta thay đổi cấu hình vhost để dùng cho pool mới. Tất cả những gì 
bạn cần làm là thay đổi cổng trong dòng fastcgi_pass: 
vi /etc/nginx/sites-available/example.com.vhost 
server { 
[...] 
 location ~ \.php$ { 
 try_files $uri =404; 
 fastcgi_pass 127.0.0.1:9001; 
 fastcgi_index index.php; 
 fastcgi_param SCRIPT_FILENAME 
$document_root$fastcgi_script_name; 
 fastcgi_param PATH_INFO 
$fastcgi_script_name; 
 include /etc/nginx/fastcgi_params; 
 } 
[...] 
} 
Sau đó khởi động lại nginx: 
/etc/init.d/nginx reload 
Như vậy các script PHP lúc này sẽ thực thi với user web1 và group client0. 
Bạn có thể làm cho mỗi PHP an toàn hơn bằng cách thay đổi thiết lập từng PHP 
riêng biệt cho mỗi vhost. Xem dòng dưới cùng của 
/etc/php5/fpm/pool.d/www.conf để biết ví dụ minh họa. 
Chẳng hạn bạn có thể thiết lập open_basedir hoặc disable_functions 
trong pool /etc/php5/fpm/pool.d/example.com.conf. 
vi /etc/php5/fpm/pool.d/example.com.conf 
[example.com] 
listen = 127.0.0.1:9001 
listen.allowed_clients = 127.0.0.1 
user = web1 
group = client0 
pm = dynamic 
pm.max_children = 50 
pm.start_servers = 20 
pm.min_spare_servers = 5 
pm.max_spare_servers = 35 
chdir = / 
php_admin_value[open_basedir] = 
/var/www/www.example.com:/usr/share/php5:/tmp:/usr/shar
e/phpmyadmin:/etc/phpmyadmin:/var/lib/phpmyadmin 
php_admin_value[disable_functions] = 
dl,exec,passthru,shell_exec,system,proc_open,popen,curl
_exec,curl_multi_exec,parse_ini_file,show_source 
Khởi động lại PHP-FPM: 
/etc/init.d/php5-fpm reload 
Sử dụng Sockets thay vì kết nối TCP 
Trước đây chúng ta thường sử dụng kết nối TCP cho pool PHP-FPM 
(127.0.0.1:9000, 127.0.0.1:9001,...). Điều này gây ra một số chi phí. May mắn 
thay, giờ đây chúng ta có thể sử dụng những socket Unix thay cho kết nối TCP 
cho pool và loại bỏ các chi phí này. 
Chúng tôi muốn các socket được tạo trong thư mục /var/run/php5-fpm , do đó đầu 
tiên là phải tạo ra thư mục này: 
mkdir /var/run/php5-fpm 
Để sử dụng socket Unix, đơn giản là hãy thay đổi dòng listen trong pool được định 
nghĩa, đổi thành chú thích hoặc loại bỏ hẳn dòng listen.allowed_clients 
(chỉ dành cho kết nối TCP) và thêm vào dòng listen.owner (định nghĩa cho 
chủ sở hữu socket), listen.group (định nghĩa cho group của socket) và 
listen.mode (định nghĩa các điều khoản/quyền truy cập của socket): 
vi /etc/php5/fpm/pool.d/example.com.conf 
[example.com] 
listen = /var/run/php5-fpm/example.com.sock 
;listen.allowed_clients = 127.0.0.1 
listen.owner = web1 
listen.group = client0 
listen.mode = 0660 
user = web1 
group = client0 
pm = dynamic 
pm.max_children = 50 
pm.start_servers = 20 
pm.min_spare_servers = 5 
pm.max_spare_servers = 35 
chdir = / 
Sau đó khởi động lại PHP-FPM: 
/etc/init.d/php5-fpm reload 
Hãy xem thư mục /var/run/php5-fpm: 
ls -l /var/run/php5-fpm 
Bạn sẽ thấy socket example.com.sock với permissions là 0660, được sở hữu bởi 
user web1 và group client0: 
root@server1:~# ls -l /var/run/php5-fpm 
total 0 
srw-rw---- 1 web1 client0 0 2011-09-21 11:08 
example.com.sock 
root@server1:~# 
Cuối cùng chúng ta cần thay đổi dòng fastcgi_pass trong nginx vhost thành 
fastcgi_pass unix:/var/run/php5-fpm/example.com.sock;: 
vi /etc/nginx/sites-available/example.com.vhost 
server { 
[...] 
 location ~ \.php$ { 
 try_files $uri =404; 
 fastcgi_pass unix:/var/run/php5-
fpm/example.com.sock; 
 fastcgi_index index.php; 
 fastcgi_param SCRIPT_FILENAME 
$document_root$fastcgi_script_name; 
 fastcgi_param PATH_INFO 
$fastcgi_script_name; 
 include /etc/nginx/fastcgi_params; 
 } 
[...] 
} 
Sau đó khởi động lại nginx: 
/etc/init.d/nginx reload