como impedir que o usuário acesse outro arquivo do usuário em php-fpm e nginx como suphp fazendo

1

Eu estou usando Nginx e PHP-FPM e tenho muitos usuários, todo usuário tem seu próprio nome de usuário e grupo mas vejo que todo exeqs do php roda como id, uid, gid nobody, também sei que php-fpm. conf tem user e group config como nobody

Eu tento usar piscina, mas sem sorte

[website.com]
user = user1
group = user1
listen = /var/run/php5-fpm-user1.sock
listen.owner = user1
listen.group = user1
;listen.mode = 0666
pm = ondemand
pm.max_children = 5
pm.start_servers = 2
pm.min_spare_servers = 1
pm.max_spare_servers = 3

mas também o evey php é executado como nobody

do shell do php mostrado (mesmo do usuário1)

uid=99(nobody) gid=99(nobody) groups=99(nobody)

ps -aux | grep nginx

root     11736  0.0  0.0 964508  2120 ?        Ss   13:14   0:00 nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
root     11737  0.0  0.0 967460  4012 ?        S    13:14   0:00 nginx: worker process
root     11738  0.1  0.0 970668  5316 ?        S    13:14   0:01 nginx: worker process
root     11739  0.0  0.0 967588  4000 ?        S    13:14   0:00 nginx: worker process
root     11741  0.0  0.0 967464  4604 ?        S    13:14   0:00 nginx: worker process
root     11742  0.0  0.0 966428  3448 ?        S    13:14   0:00 nginx: worker process
root     11744  0.0  0.0 966428  3648 ?        S    13:14   0:00 nginx: worker process
root     11745  0.0  0.0 966428  3520 ?        S    13:14   0:00 nginx: worker process
root     11746  0.0  0.0 966428  3484 ?        S    13:14   0:00 nginx: worker process
root     11749  0.0  0.0 964672  2412 ?        S    13:14   0:00 nginx: cache manager process

ps -aux| grep php (for all another user expect user1)

root     11760  0.0  0.0 1232104 6512 ?        Ss   13:14   0:00 php-fpm: master process (/etc/php/php-fpm.conf)
nobody   13568  7.3  0.6 1307036 107936 ?      S    13:21   0:41 php-fpm: pool www
nobody   13627  7.6  0.6 1306808 111000 ?      S    13:22   0:37 php-fpm: pool www
nobody   13628  7.4  0.6 1291900 99348 ?       S    13:22   0:36 php-fpm: pool www
nobody   13629  7.0  0.6 1306748 109308 ?      S    13:22   0:33 php-fpm: pool www


ps -aux| grep user1

gerges   15586  7.0  0.0 1231908 13464 ?       S    13:32   0:00 php-fpm: pool san-gerges.com

do shell do php do usuário1

uid=99(nobody) gid=99(nobody) groups=99(nobody)

O problema é que eu posso acessar os arquivos de outros usuários facilmente se a permissão da pasta for 755 também posso ler o conteúdo do arquivo. A única maneira de evitar isso é que eu chmod todas as pastas para 711, mas não é suportado por alguns scripts

Existe alguma maneira de impedir que qualquer usuário acesse outro arquivo de usuário e execute o script como proprietário, usando php-fpm e nginx como o que o SuPHP está fazendo exatamente.

    
por ezak 02.11.2016 / 13:36

0 respostas