php-fpm chroot功能的使用

59519751

　　nginx+php-fpm是现在配置php环境非常流行的组合之一。nginx以其并发能力强，轻巧，速度快而受到非常多人的青睐，php-fpm以其安全，处理php速度快而成为与nginx的最佳组合。php-fpm提供有一个非常重要的功能chroot，它可以把指定的网站完完全全限制在一个目录下，可以对系统和其它虚拟机起到很好的隔离效果，这对系统的安全无疑是加强了不少，下面介绍如何配置。

我们假设域名为www.centos.bz,网站根目录为/home/chroot/www.centos.bz/web，需要把此网站限制在/home/chroot/www.centos.bz。
1、php-fpm.conf配置
打开php-fpm.conf文件，把chroot更改为　　

• chroot = /home/chroot/www.centos.bz
  

　　


2、nginx配置
我们上面把www.centos.bz站点限制在了/home/chroot/www.centos.bz，所以对于php-fpm，此网站根目录已经变成是/web，所以我们需要更改nginx传递给php-fpm的网站根目录地址。
找到　　

• fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
  

　　

更改为　　

• fastcgi_param SCRIPT_FILENAME /web$fastcgi_script_name;
  

　　


3、一些目录创建　　

• cd /home/chroot/www.centos.bz/
  
• mkdir -p tmp etc bin usr/sbin lib dev/
  
• mknod -m 0666 dev/null c 1 3
  
• mknod -m 0666 dev/random c 1 8
  
• mknod -m 0666 dev/urandom c 1 9
  
• mknod -m 0666 dev/zero c 1 5
  
• chmod 1777 tmp
  

　　

4、修复解析
把www.centos.bz的php完全限制在一个目录下后，导致了php无法解析域名，以32位系统为例(64位库文件位置为lib64)下面是修复的步骤,　　

• cd /home/chroot/www.centos.bz/
  
• cp /etc/hosts /etc/resolv.conf /etc/nsswitch.conf etc/
  
• cp /lib/{ld-linux.so.2,libc.so.6,libdl.so.2,libnss_dns.so.2,libnss_files.so.2,libresolv.so.2,libtermcap.so.2}  lib/
  

　　

这样php就可以解析域名了。
5、修复sendmail功能
同样chroot目录后，就无法发送邮件了，我们这里使用mini_sendmail代为发送邮件。同样以32位系统为例。　　

• cd /home/chroot/www.centos.bz/
  
• cp -P /bin/bash /bin/sh bin
  
• cp /etc/passwd /etc/group etc
  
• cd /tmp
  
• wget http://www.acme.com/software/mini_sendmail/mini_sendmail-1.3.6.tar.gz
  
• tar xzf mini_sendmail-1.3.6.tar.gz
  
• cd mini_sendmail-1.3.6
  
• make
  
• cp mini_sendmail /home/chroot/www.centos.bz/usr/sbin/sendmail
  

　　


原文出自：http://www.centos.bz/2012/05/php-fpm-chroot/