如何限制Nginx+PHP的目录权限

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了如何限制Nginx+PHP的目录权限相关的知识,希望对你有一定的参考价值。

  最近nginx的使用者是越来越多,多数网站也从原本使用很多的Apache平台或其他平台迁移到了Nginx。对于刚刚接触Nginx的朋友来说,如何限制Nginx+php的目录权限成了实际问题,
  大家都知道,在Apache中可以很容易的对虚拟目录进行权限控制,如:
  程序代码如下:

  <VirtualHost IPn>
  ServerAdmin xiaopb@live.com
  DocumentRoot /usr/www/xpb/
  ServerName IP:80
  ServerAliasIP
  ErrorLog logs/default-error_log
  php_admin_value open_basedir "/tmp/:/usr/www/xpb/"
  </VirtualHost>

  关键是后面的这句php_admin_value,这样就限制了php的操作目录仅限于/tmp/和/usr/www/xpb/这两个目录了。对于Apache虚拟主机来说,这个设置十分有用,结合在php.ini中禁用一些php函数,几乎可以杜绝PHP木马对其他站点及系统的危害。我虽没专业做过Linux下的虚拟主机,但相信各大虚拟主机商也是这么做的。

  看来对于Apache最好的办法还是使用“在php.ini中禁用一些危险的php函数和在Apache虚拟主机中配置php_admin_value”的方式来做虚拟主机的安全。

  关于Nginx的配置文件,参考了很多资料,好像是不支持php_admin_value open_basedir,也就是Nginx暂时还没有Apache的 php_myadmin_value这类的设置。如果用Nginx做虚拟主机,各用户之间的目录安全控制如何来做呢?网上很多人说,限制上传文件类型,做好程序安全不就行了么?对,对于自己的站点来说这样完全可以。但如果虚拟主机是给别人用的,又给予了FTP权限,总不能不让人上传php文件吧。
  转载,仅供参考。
参考技术A 在linux下,直接修改文件权限就好了啊,chmod 444 1.php

Nginx/Apache发大招

导读 网站程序的上传目录通常是不需要PHP执行解释权限,通过限制目录的PHP执行权限可以提网站的安全性,减少被攻击的机率。

技术分享

下面和大家一起分享下如何在Apache和Nginx禁止上传目录里PHP的执行权限。

Apache下禁止指定目录运行PHP脚本

在虚拟主机配置文件中增加php_flag engine off指令即可,配置如下:

  Options FollowSymLinks
  AllowOverride None
  Order allow,deny
  Allow from all 
  php_flag engine off

Nginx下禁止指定目录运行PHP脚本

Nginx更简单,直接通过location条件匹配定位后进行权限禁止,可在server配置段中增加如下的配置。

如果是单个目录:

location ~* ^/uploads/.*\.(php|php5)$
{
  deny all;
}

如果是多个目录:

location ~* ^/(attachments|uploads)/.*\.(php|php5)$
{
  deny all;
}

注意:这段配置文件一定要放在下面配置的前面才可以生效。

location ~ \.php$ {
fastcgi_pass   127.0.0.1:9000;
fastcgi_index  index.php;
fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
include        fastcgi_params;
}

最后给一个完整的配置示例

location ~ /mm/(data|uploads|templets)/*.(php)$ {
  deny all;
}

location ~ .php$ {
  try_files $uri /404.html;
  fastcgi_pass   127.0.0.1:9000;
  fastcgi_index  index.php;
  fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
  include        fastcgi_params;
}

配置完后记得重启Nginx生效。

技术分享

本文地址: http://www.linuxprobe.com/disable-php-directory.html/a>

以上是关于如何限制Nginx+PHP的目录权限的主要内容,如果未能解决你的问题,请参考以下文章

Nginx/Apache下如何禁止指定目录运行PHP脚本

nginx web 目录下权限设置哪个是对的

Nginx/Apache发大招

Nginx/Apache发大招

利用神器Nginx + X-Accel,实现PHP大文件下载统计权限判断速度限制

利用神器Nginx + X-Accel,实现PHP大文件下载统计权限判断速度限制