Eu estou usando Nginx e PHP-FPM e tenho muitos usuários, todo usuário tem seu próprio nome de usuário e grupo mas vejo que todo exeqs do php roda como id, uid, gid nobody, também sei que php-fpm. conf tem user e group config como nobody
Eu tento usar piscina, mas sem sorte
[website.com]
user = user1
group = user1
listen = /var/run/php5-fpm-user1.sock
listen.owner = user1
listen.group = user1
;listen.mode = 0666
pm = ondemand
pm.max_children = 5
pm.start_servers = 2
pm.min_spare_servers = 1
pm.max_spare_servers = 3
mas também o evey php é executado como nobody
do shell do php mostrado (mesmo do usuário1)
uid=99(nobody) gid=99(nobody) groups=99(nobody)
ps -aux | grep nginx
root 11736 0.0 0.0 964508 2120 ? Ss 13:14 0:00 nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
root 11737 0.0 0.0 967460 4012 ? S 13:14 0:00 nginx: worker process
root 11738 0.1 0.0 970668 5316 ? S 13:14 0:01 nginx: worker process
root 11739 0.0 0.0 967588 4000 ? S 13:14 0:00 nginx: worker process
root 11741 0.0 0.0 967464 4604 ? S 13:14 0:00 nginx: worker process
root 11742 0.0 0.0 966428 3448 ? S 13:14 0:00 nginx: worker process
root 11744 0.0 0.0 966428 3648 ? S 13:14 0:00 nginx: worker process
root 11745 0.0 0.0 966428 3520 ? S 13:14 0:00 nginx: worker process
root 11746 0.0 0.0 966428 3484 ? S 13:14 0:00 nginx: worker process
root 11749 0.0 0.0 964672 2412 ? S 13:14 0:00 nginx: cache manager process
ps -aux| grep php (for all another user expect user1)
root 11760 0.0 0.0 1232104 6512 ? Ss 13:14 0:00 php-fpm: master process (/etc/php/php-fpm.conf)
nobody 13568 7.3 0.6 1307036 107936 ? S 13:21 0:41 php-fpm: pool www
nobody 13627 7.6 0.6 1306808 111000 ? S 13:22 0:37 php-fpm: pool www
nobody 13628 7.4 0.6 1291900 99348 ? S 13:22 0:36 php-fpm: pool www
nobody 13629 7.0 0.6 1306748 109308 ? S 13:22 0:33 php-fpm: pool www
ps -aux| grep user1
gerges 15586 7.0 0.0 1231908 13464 ? S 13:32 0:00 php-fpm: pool san-gerges.com
do shell do php do usuário1
uid=99(nobody) gid=99(nobody) groups=99(nobody)
O problema é que eu posso acessar os arquivos de outros usuários facilmente se a permissão da pasta for 755 também posso ler o conteúdo do arquivo. A única maneira de evitar isso é que eu chmod todas as pastas para 711, mas não é suportado por alguns scripts
Existe alguma maneira de impedir que qualquer usuário acesse outro arquivo de usuário e execute o script como proprietário, usando php-fpm e nginx como o que o SuPHP está fazendo exatamente.