nginx防止跨站 lnmp多站点安全设置之一
一台服务器很少只给一个网站使用,站点多了,管理员有勤堕之分,技术水平也不一样。所以必要的还是做些安全设置。记录一下,以后能用的上。
第一步是到/usr/local/php/sbin/目录 打开php-fpm文件,找到
case "$1" in
start)
echo -n "Starting php_fpm "
$php_fpm_BIN --fpm $php_opts
$php_fpm_BIN --fpm --fpm-config /usr/local/php/etc/www.xxxxxx.com-9004.conf //这一段是添加的。9004是端口号
if [ "$?" != 0 ] ; then
echo " failed"
exit 1
fi
wait_for_pid created $php_fpm_PID
if [ -n "$try" ] ; then
echo " failed"
exit 1
else
echo " done"
fi
;;
第二步/usr/local/php/etc/目录,复制php-fpm.conf文件一份,重命名为www.xxxxxx.com-9004.conf ,然后修改以下两个地方。
<section name="pool">
Name of pool. Used in logs and stats.
<value name="name">default</value>
Address to accept fastcgi requests on.
Valid syntax is 'ip.ad.re.ss:port' or just 'port' or '/path/to/unix/socket'
#<value name="listen_address">/tmp/php-cgi.sock</value> 注释掉这一行
<value name="listen_address">127.0.0.1:9004</value> //此次是添加的,注意端口号
<value name="listen_options">
Set listen(2) backlog
<value name="backlog">-1</value>
Set permissions for unix socket, if one used.
In Linux read/write permissions must be set in order to allow connections from web server.
Many BSD-derrived systems allow connections regardless of permissions.
<value name="owner"></value>
<value name="group"></value>
<value name="mode">0666</value>
</value>
Additional php.ini defines, specific to this pool of workers.
<value name="php_defines">
<value name="sendmail_path">/usr/sbin/sendmail -t -i</value>
<value name="display_errors">1</value>
<value name="open_basedir">/home/wwwroot/XXX网站所在目录名XXXX888:/tmp:/var/tmp</value> //此次是添加的
</value>
第三步修改对应网站nginx配置文件/usr/local/nginx/conf/vhost目录下找到对应文件。
include discuz.conf;
location ~ .*\.(php|php5)?$
{
try_files $uri =404;
#fastcgi_pass unix:/tmp/php-cgi.sock; //注释点这一行
fastcgi_pass 127.0.0.1:9004; //添加这一行 注意端口号和前面的设置保持一致。
fastcgi_index index.php;
include fcgi.conf;
}
然后重启服务器。
然后上传php木马到指定网站目录。查看是否设置成功,成功的话,php木马就不能访问其他网站目录了。
我的网站http://www.tujiajia.com 欢迎大家关注