【转】PHP网站(nginx、php-fpm、mysql) 用户权限解析
这篇文章我们就特别来讲解下,nginx、php-fpm 以及 mysql 运行在各个用户下的配置。
先来做个说明:nginx本身不能处理PHP,它只是个web服务器。当接收到客户端请求后,如果是php请求,则转发给php解释器处理,并把结果返回给客户端。如果是静态页面的话,nginx自身处理,然后把结果返回给客户端。
Nginx下php解释器使用最多的就是fastcgi。一般情况nginx把php请求转发给fastcgi(即 php-fpm)管理进程处理,fastcgi管理进程选择cgi子进程进行处理,然后把处理结果返回给nginx。
在这个过程中就牵涉到两个用户,一个是nginx运行的用户,一个是php-fpm运行的用户。如果访问的是一个静态文件的话,则只需要nginx运行的用户对文件具有读权限或者读写权限。
而如果访问的是一个php文件的话,则首先需要nginx运行的用户对文件有读取权限,读取到文件后发现是一个php文件,则转发给php-fpm,此时则需要php-fpm用户对文件具有有读权限或者读写权限。
首先,我们来查看nginx运行在什么用户下。使用ps命令进行查看,如下:
ps aux|grep nginx
通过上图我们可以很明显的看到nginx的父进程是运行在root用户下的,而子进程时运行在nobody用户下,而且只有一个子进程。这个和我们在nginx的配置文件中,配置的一致。如下:
more /usr/local/nginx/conf/nginx.conf
注意:nginx如果没有配置运行用户的话,默认是使用nobody用户运行。使用nobody运行nginx安全性是比较高的。
以上是nginx的运行用户。
现在我们来查看下php-fpm的运行用户,使用ps命令。如下:
ps aux |grep php-fpm
通过上图,我们可以看到php-fpm的父进程运行在root用户下,而子进程全部运行在apache用户下。
我们再来看看mysql数据库运行在哪个用户下面,使用ps命令查看。如下:
ps aux |grep mysql
通过上图我们可以看到,mysql运行在mysql用户下,而且其PID确实和保存在/var/run/mysqld/mysqld.pid中的一样。
以上就是nginx、php-fpm、mysql的运行在各个用户下的情况。
我们来开始测试实际生产环境中的配置,在《烂泥:使用nginx利用虚拟主机搭建WordPress博客》文章中我们已经配置好了,虚拟主机a.ilanni.com。如下:
我们来看看a.ilanni.com虚拟主机根目录的所属用户及用户组,如下:
在实际生产环境中,我们一般的配置是nginx与php-fpm都运行在nobody用户下,而且网站的根目录也要属于nobody用户,并且根目录对nobody用户具有所有权限。
这样配置是最安全的,因为nobody用户最安全。即使黑客攻破了网站,但是也不能登录系统。
现在我们先不进行任何配置,使用各自的默认用户发表一篇文章来看看实际的效果。
对于wordpress发表文章,我一般都是通过windows live writer这个博客客户端发表的。
我们现在还是通过这个客户端来发表一篇只有文字没有图片的文章,如下:
通过上图,我们可以很明显的看到,这篇测试文字的文章已经成功发布。
接下来我们再来测试一篇图文并茂的文章,如下:
通过上图,我们可以看到带有图片的文章是没有办法发布的。windows live writer已经提示出错。
为什么带有图片的文章就不能发布呢?
其实这个问题很简单,文章中的图片需要先上传到网站的根目录下,然后才能正常访问。现在php-fpm运行在apache用户下,而问题是apache用户对虚拟主机a.ilanni.com根目录没有访问权限,更没有写入权限。
所以就会出现上述的问题,windows live writer不可以发布带有图片的文章。
那么如何解决这个问题呢?
其实很简单的,我们在前面都已经说了。nginx涉及到两个用户,一个是nginx运行的用户,一个是php-fpm运行的用户。如果访问的是一个静态文件,则只需要nginx运行的用户对文件具有读取权限。
而如果访问的是一个php文件,则首先需要nginx的运行用户对文件有读取权限,读取到文件后发现是一个php文件,则转发给php-fpm,此时则需要php-fpm用户对文件具有读取权限。
我们现在需要做的就是统一 nginx 与 php-fpm 运行用户为 nobody,然后把nginx的虚拟主机a.ilanni.com网站根目录对nobody用户及nobody用户组具有所有权限。
nginx已经运行在nobody用户下,我们就不进行调整了。我们来调整php-fpm运行用户,php-fpm我们是通过yum方式进行安装的。而且使用的还是默认配置,该配置文件为/etc/php-fpm.d/www.conf。
现在开始编辑该文件,修改其运行的用户级用户组。如下:
vi /etc/php-fpm.d/www.conf
编辑完毕后,重启php-fpm。如下:
/etc/init.d/php-fpm restart ps aux|grep php-fpm
通过上图,我们可以看到目前php-fpm已经运行在nobody用户。
php-fpm运行用户修改完毕后,我们现在来修改虚拟主机的根目录用户及用户组。如下:
chown nobody:nobody -R a.ilanni.com/
虚拟主机a.ilanni.com根目录所属用户及用户组修改完毕后,也要注意修改nobody对虚拟主机a.ilanni.com根目录的权限。
通过上图我们可以看到,目前nobody用户已经对虚拟主机a.ilanni.com根目录已经具有控制权限。
以上权限修改完毕后,我们再来通过windows live writer发布图文文章。如下:
通过上图,我们可以看到。该文图文章已经被成功的发布到wordpress中。我们再来看下,wordpress中的图片存放位置。
ll /ilanni/a.ilanni.com/wp-content/uploads/2014/09
以上就是nginx、php-fpm、mysql在实际使用过程中用户的配置。按理说,文章到这我们就应该结束了。
但是为了更能和我们的实际生产环境相结合,我们来延伸下。如果说我们现在这个wordpress是一个项目,该项目正在开发。而开发人员我们是没有在linux系统中开通相关账户的,只开通了一个FTP账户。
但是开发人员又要上传代码和修改相关的代码,怎么办呢?
这个就需要结合Vsftpd虚拟名用户来进行设置。有关这方面的资料,可以参考我以前的文章《烂泥:vsftpd虚拟用户与匿名用户配合使用》。
先来安装vsftpd,使用yum方式。安装完毕后,我们就来配置vsftpd。
具体配置后的文件内容如下:
vi /etc/vsftpd/vsftpd.conf
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_file=/var/log/xferlog
xferlog_std_format=YES
idle_session_timeout=600
ftpd_banner=http.
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
listen=YES
listen_port=2121
pasv_min_port=6000
pasv_max_port=6150
userlist_enable=YES
tcp_wrappers=YES
guest_enable=YES
guest_username=nobody
pam_service_name=vsftpd
user_config_dir=/etc/vsftpd/vu_conf
virtual_use_local_privs=yes
其中 guest_enable=YES 表示启用vsftpd虚拟用户,就是所有登录到FTP的用户在系统都是虚拟用户。
guest_username=nobody 表示虚拟用户对应的系统用户为nobody用户。
virtual_use_local_privs=yes 表示启用vsftpd虚拟用户,并且虚拟用户和本地用户有相同的权限。
pam_service_name=vsftpd 启用vsftpd验证。
然后再配置vsftpd虚拟用户的目录,如下:
vi vu_conf/ilanni
local_root= /ilanni/a.ilanni.com
通过上述配置后vsftpd的虚拟用户ilanni,就已经对nginx的虚拟主机a.ilanni.com根目录具有完全控制权限。
从而也就达到了通过vsftpd控制项目的目的。
摘自:http://ilanni.blog.51cto.com/526870/1561097
【转】PHP网站(nginx、php-fpm、mysql) 用户权限解析相关推荐
- 烂泥:nginx、php-fpm、mysql用户权限解析
本文首发于烂泥行天下. 前几天学习了,在nginx下搭建wordpress博客.在<烂泥:使用nginx利用虚拟主机搭建WordPress博客>文章中,我们特别提到了有关程序运行在哪个用户 ...
- nginx、php-fpm、mysql用户权限解析
转自:http://www.ilanni.com/?p=7438 前几天学习了,在nginx下搭建wordpress博客.在<烂泥:使用nginx利用虚拟主机搭建WordPress博客>文 ...
- 教您如何查看MySQL用户权限
教您如何查看MySQL用户权限 如果需要查看MySQL用户权限,应该如何实现呢?下面就为您介绍查看MySQL用户权限的方法,并对授予MySQL用户权限的语句进行介绍,供您参考. 查看MySQL用户权限 ...
- 您如何查看MySQL用户权限
如果需要查看MySQL用户权限,应该如何实现呢?下面就为您介绍查看MySQL用户权限的方法,并对授予MySQL用户权限的语句进行介绍,供您参考. 查看MySQL用户权限: show grants fo ...
- Mac彻底删除mysql,重新安装mysql,修改mysql用户权限
删除mysql 左上角"系统偏好设置",打开MySQL面板,停止MySQL服务 在文件"/etc/hostconfig"中删除一行"MYSQLCOM= ...
- 学了mysql用户权限我直接把管理员禁闭了
一 前言 本篇内容是关于MYSQL 数据库管理系统对数据库用户的权限相关的操作:学习本篇的基础是知识追寻者之前发布的MYSQL系列文章(公众号读者看专辑) 本套教程 MYSQL介绍(1) MYSQL检 ...
- mysql 授予权限语句,授予MySQL用户权限的语句
下面为您介绍的语句都是用于授予用户权限,这些语句可以授予数据库开发人员,创建表.索引.视图.存储过程.函数...等MySQL用户权限. grant 创建.修改.删除 MySQL 数据表结构权限. gr ...
- mysql给权限的语句_授予MySQL用户权限的语句
下面为您介绍的语句都是用于授予MySQL用户权限,这些语句可以授予数据库开发人员,创建表.索引.视图.存储过程.函数...等MySQL用户权限. grant 创建.修改.删除 MySQL 数据表结构权 ...
- linux查看mysql用户权限_教您如何查看MySQL用户权限
教您如何查看MySQL用户权限 如果需要查看MySQL用户权限,应该如何实现呢?下面就为您介绍查看MySQL用户权限的方法,并对授予MySQL用户权限的语句进行介绍,供您参考. 查看MySQL用户权限 ...
- MySQL用户权限总结【用户授权必会】
文章目录 一.MySQL用户权限 二.用户权限介绍 1.权限级别 2.权限实现 3.权限分布 4.查询权限表 三.用户权限实战 1.查看用户权限信息 2.用户创建和授权 创建MySQL用户和权限* 刷 ...
最新文章
- Android-Universal-Image-Loader 框架使用
- 前端学习(1805):前端调试之列表伪类练习
- DropDownList实现无限分级
- MySQL 执行原生sql
- java 多线程 一个博客
- ios 避免两个button同一时候被点击
- String、Object、包装类的常用方法以及注意点
- CTO 说了,如果发现谁用 SELECT * 查询直接开除
- 在ASP中常见的错误80004005信息和解决办法
- Redis 事务 实例
- mysql的数据库文件在哪里_MySQL数据库文件其具体的存放位置简述
- 20位顶级设计师的桌面环境
- [技术脑洞] 如果把14亿中国人拉到一个微信群里技术上能实现吗?
- java无法验证证书_java – 如何解决“证书无效且无法用于验证此网站的身份”错误?...
- Internet时间自动同步后,计算机系统时间比北京时间不能同步一致
- 三星公司的开会流程--绝对值得一看
- 使用Websphere的TPTP工具进行性能分析和监控
- 微信公众号发布消息不消耗群发次数怎么实现
- 面试官问你的职业生涯规划是什么,该如何回答?
- Java 常见笔试题(转载)
热门文章
- 一文读懂 | 数据中台如何为企业赋能?
- 关于x>y?x:y的含义
- 农业农村部回应长江刀鱼将正式禁捕:已严重过度捕捞
- 联想服务器控制口登录地址_服务器常见远程管理网口及登录方式
- Java-Spring-使用篇之快速入门
- 在router中使用pinia报错解决
- C. The Intriguing Obsession(组合数学)
- python模拟微信发红包,并验证随机性
- android室内定位传感器辅助pdr jar,基于Android的PDR和WiFi指纹融合室内定位技术研究...
- 技术职称论文查重用什么论文查重软件?