1. 首页
  2. 问题列表
  3. Nginx网站隔离
提问者:小点点

Nginx网站隔离


我遵循了很多nginx指南,但没有一个让我满意。

我的目标是创建两个具有不同文件权限的网站,因此我确信它们是永久隔离的。

例如/var/www/site1,所有者为site1,组为site1;和/var/www/site2,所有者为site2,组为site2,这两个目录都具有770权限。

我的nginx。形态:

user www-data;
worker_processes 4;
pid /run/nginx.pid;

events {
    worker_connections 768;
}

http {

    sendfile on;
    tcp_nopush on;
    tcp_nodelay on;
    keepalive_timeout 65;
    types_hash_max_size 2048;

    include /etc/nginx/mime.types;
    default_type application/octet-stream;


    access_log /var/log/nginx/access.log;
    error_log /var/log/nginx/error.log;


include /etc/nginx/sites-enabled/*;

}

我的/etc/nginx/sites available/site1:

server {
    listen 80;

    root /var/www/site1;
    index index.php index.html index.htm;

    server_name www.site1.org site1.org;

    access_log /var/log/nginx/access2.log;
        error_log /var/log/nginx/error2.log;

    location / {
        try_files $uri $uri/ /index.php?$args;
        #try_files $uri $uri/ =404;
    }

    error_page 404 /404.html;
    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
        root /var/www/site1;
    }

    location ~ \.php$ {
        try_files $uri =404;
        fastcgi_split_path_info ^(.+\.php)(/.+)$;
        fastcgi_pass unix:/var/run/php5-fpm-site1.sock;
        fastcgi_index index.php;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        include fastcgi_params;
    }
}

... site2也是如此。

最后我的 /etc/php5/fpm/pool.d/site1.conf:

[site1]
user = site1
group = site1
listen = /var/run/php5-fpm-site1.sock
listen.owner = www-data
listen.group = www-data
php_admin_value[disable_functions] = exec,passthru,shell_exec,system
php_admin_flag[allow_url_fopen] = off
pm = dynamic
pm.max_children = 5
pm.start_servers = 2
pm.min_spare_servers = 1
pm.max_spare_servers = 3
chdir = /

... site2也是如此。

一切正常,只要www数据用户拥有 /var/www/site1和 /var/www/site2.的文件权限当我用770设置site1: site1为所有者:组时,问题就发生了,然后我在日志中得到“13:权限被拒绝”。

其想法是,只有php fpm必须拥有网站文件,因为nginx只是通过套接字与php fpm通信,而php fpm是处理文件的过程。为什么Nginx都应该拥有它们?


共1个答案

匿名用户

Nginx可以与您想要的任何(受信任的)用户一起运行,包括这些文件的所有者。。。但是,只要nginx用户对这两个站点都有权限,就无法完全隔离这两个站点。

如果必须同时运行nginx,则必须使用虚拟化(vps)来完全隔离它们(尽管“完美”一词是相对的)。

如果您可以为另一个站点使用另一台服务器,那么除了让每个用户作为该用户运行php之外,您还可以在不同的端口(如litespeed或lighttpd)中放置两个不同的Web服务器。

因此,您将为用户1使用nginx fpm(并与用户1一起运行),为用户2使用lighttpd fpm(与usr 2一起运行)。文件应位于其他用户的主目录中,并具有阻止其他用户访问的适当权限。

然后,您可以将nginx lighttpd放在haproxy后面,并根据主机名将请求路由到nginx或lighttpd,这反过来将为每个用户启动fpm,仅为该用户的文件提供服务。

https://seanmcgary.com/posts/haproxy---route-by-domain-name

但不管怎样,我认为最好的途径是虚拟化。

相关问题



热门标签
Java JavaScript Python PHP C# Android Html jQuery C++ Css IOS MySQL NodeJS