PHP网站(nginx、php | 您所在的位置:网站首页 › nginx 权限配置 › PHP网站(nginx、php |
原文链接:https://blog.51cto.com/ilanni/1561097这篇文章我们就特别来讲解下,nginx、php-fpm 以及 mysql 运行在各个用户下的配置。 先来做个说明:nginx本身不能处理PHP,它只是个web服务器。当接收到客户端请求后,如果是php请求,则转发给php解释器处理,并把结果返回给客户端。如果是静态页面的话,nginx自身处理,然后把结果返回给客户端。 Nginx下php解释器使用最多的就是fastcgi。一般情况nginx把php请求转发给fastcgi(即 php-fpm)管理进程处理,fastcgi管理进程选择cgi子进程进行处理,然后把处理结果返回给nginx。 在这个过程中就牵涉到两个用户,一个是nginx运行的用户,一个是php-fpm运行的用户。如果访问的是一个静态文件的话,则只需要nginx运行的用户对文件具有读权限或者读写权限。 而如果访问的是一个php文件的话,则首先需要nginx运行的用户对文件有读取权限,读取到文件后发现是一个php文件,则转发给php-fpm,此时则需要php-fpm用户对文件具有有读权限或者读写权限。 首先,我们来查看nginx运行在什么用户下。使用ps命令进行查看,如下: ps aux|grep nginx通过上图我们可以很明显的看到nginx的父进程是运行在root用户下的,而子进程时运行在nobody用户下,而且只有一个子进程。这个和我们在nginx的配置文件中,配置的一致。如下: more /usr/local/nginx/conf/nginx.conf
以上是nginx的运行用户。 现在我们来查看下php-fpm的运行用户,使用ps命令。如下: ps aux |grep php-fpm
我们再来看看mysql数据库运行在哪个用户下面,使用ps命令查看。如下: ps aux |grep mysql
以上就是nginx、php-fpm、mysql的运行在各个用户下的情况。 我们来开始测试实际生产环境中的配置,在《烂泥:使用nginx利用虚拟主机搭建WordPress博客》文章中我们已经配置好了,虚拟主机a.ilanni.com。如下: 在实际生产环境中,我们一般的配置是nginx与php-fpm都运行在nobody用户下,而且网站的根目录也要属于nobody用户,并且根目录对nobody用户具有所有权限。 这样配置是最安全的,因为nobody用户最安全。即使黑客攻破了网站,但是也不能登录系统。 现在我们先不进行任何配置,使用各自的默认用户发表一篇文章来看看实际的效果。 对于wordpress发表文章,我一般都是通过windows live writer这个博客客户端发表的。 我们现在还是通过这个客户端来发表一篇只有文字没有图片的文章,如下: 接下来我们再来测试一篇图文并茂的文章,如下:
为什么带有图片的文章就不能发布呢? 其实这个问题很简单,文章中的图片需要先上传到网站的根目录下,然后才能正常访问。现在php-fpm运行在apache用户下,而问题是apache用户对虚拟主机a.ilanni.com根目录没有访问权限,更没有写入权限。 所以就会出现上述的问题,windows live writer不可以发布带有图片的文章。 那么如何解决这个问题呢? 其实很简单的,我们在前面都已经说了。nginx涉及到两个用户,一个是nginx运行的用户,一个是php-fpm运行的用户。如果访问的是一个静态文件,则只需要nginx运行的用户对文件具有读取权限。 而如果访问的是一个php文件,则首先需要nginx的运行用户对文件有读取权限,读取到文件后发现是一个php文件,则转发给php-fpm,此时则需要php-fpm用户对文件具有读取权限。 我们现在需要做的就是统一 nginx 与 php-fpm 运行用户为 nobody,然后把nginx的虚拟主机a.ilanni.com网站根目录对nobody用户及nobody用户组具有所有权限。 nginx已经运行在nobody用户下,我们就不进行调整了。我们来调整php-fpm运行用户,php-fpm我们是通过yum方式进行安装的。而且使用的还是默认配置,该配置文件为/etc/php-fpm.d/www.conf。 现在开始编辑该文件,修改其运行的用户级用户组。如下: vi /etc/php-fpm.d/www.conf编辑完毕后,重启php-fpm。如下: /etc/init.d/php-fpm restart ps aux|grep php-fpm通过上图,我们可以看到目前php-fpm已经运行在nobody用户。 php-fpm运行用户修改完毕后,我们现在来修改虚拟主机的根目录用户及用户组。如下: chown nobody:nobody -R a.ilanni.com/虚拟主机a.ilanni.com根目录所属用户及用户组修改完毕后,也要注意修改nobody对虚拟主机a.ilanni.com根目录的权限。 通过上图我们可以看到,目前nobody用户已经对虚拟主机a.ilanni.com根目录已经具有控制权限。 以上权限修改完毕后,我们再来通过windows live writer发布图文文章。如下:
|
CopyRight 2018-2019 实验室设备网 版权所有 |