через pool PHP-FPM

0

2

Не могу разобраться как изолировать сайты виртуал хосты друг от друга через Pool APACHE + PHP-FPM.

есть 2 сайта

/var/www/site1
/var/www/site2

сделал 2х пользователей

useradd -g www-data -m -s /bin/false site1
useradd -g www-data -m -s /bin/false site2

сделал 2 пула PHP-FPM

[site1]

user = site1
group = site1

listen = /var/run/php53-fpm-site1.sock

listen.owner = www-data
listen.group = www-data
listen.mode = 0660

pm.status_path = /status

;pm = dynamic
;pm.max_spare_servers = 5

pm = ondemand
pm.max_children = 100
pm.start_servers = 2
pm.min_spare_servers = 5
pm.max_requests = 0

[site2]

user = site2
group = site2

listen = /var/run/php53-fpm-site2.sock

listen.owner = www-data
listen.group = www-data
listen.mode = 0660

pm.status_path = /status

;pm = dynamic
;pm.max_spare_servers = 5

pm = ondemand
pm.max_children = 100
pm.start_servers = 2
pm.min_spare_servers = 5
pm.max_requests = 0

в веб-кофигах также у каждого сайта свой POOL

 для site1

  <FilesMatch "\.php$">
       SetHandler "proxy:unix:/var/run/php53-fpm-site1.sock|fcgi://localhost/"
    </FilesMatch> 

 для site2

  <FilesMatch "\.php$">
       SetHandler "proxy:unix:/var/run/php53-fpm-site2.sock|fcgi://localhost/"
    </FilesMatch>

но той же webconsole.php спокойно можно читать файлы друг друга

ls /var/www/site1 
cat /var/www/site1/file.php

Как правильно реализовать вопрос, в какие группы пользователи должны входить, что-бы были полностью изолированы.

да и вообще получается залил ШЕЛ и может почитать файлы типа cat /etc/passwd

Не красиво как-то получается ;)

За Ранее спасибо.

Ссылка

←	передача картинки с arch linux на экран aka airplay

Криво запускается Google Earth Pro в Debian на AMD

→

Права на папки расставь такие, чтобы читать не могли друг друга. Обычно там rw-r--r-- ставятся, если не задавать отдельно.

turtle_bazon ★★★★★
(12.02.19 13:56:05 MSK)

Ссылка

Если конкретно, то у тебя надо сделать на обе папки.

chmod go-rwx site<папка>

turtle_bazon ★★★★★
(12.02.19 13:57:29 MSK)

Ответ на: комментарий от turtle_bazon 12.02.19 13:57:29 MSK

chmod go-rwx /var/www/site

Сайт упал сразу. поставил 911 права:

ls - l /

все ок, просмотр запрещен даже на всею папку www поставил. а вот чтение осталось! если знаешь название папки сайта и какой движок то можно просмотреть через

cat

также он может почти все каталоги unix читать. кроме рут.

есть варианты куда копать назание прав что-бы не мог пользователь сайта не читать и просматривать не какие каталоги в.т.ч все ls -l /

shrmvl
(12.02.19 20:41:39 MSK) автор топика

Ответ на: комментарий от shrmvl 12.02.19 20:41:39 MSK

Сайт упал сразу.

Ну потому что надо было ещё сделать

chown site<n>:site<n> /var/www/site<n>

turtle_bazon ★★★★★
(12.02.19 21:29:14 MSK)

Ответ на: комментарий от turtle_bazon 12.02.19 21:29:14 MSK

немного не понял команды, <n>

как правильно написать команду.

chown?

сайт находиться по пути: /var/www/site

Спасибо.

shrmvl
(13.02.19 23:18:45 MSK) автор топика

Ответ на: комментарий от shrmvl 13.02.19 23:18:45 MSK

Он имел ввиду

chown site1:site1 /var/www/site1

Где site1 это существующие юзер и группа в твоей системе.

~~Twissel~~ ★★★★★
(13.02.19 23:25:19 MSK)

Ссылка

Ответ на: комментарий от shrmvl 13.02.19 23:18:45 MSK

Это не команда, вместо этой конструкции надо подставить свой номер. Пример:

chown site1:site1 /var/www/site1

Просто у тебя там два разных сайта было в начальном посте. Как сейчас у тебя - смотри сам.

turtle_bazon ★★★★★
(14.02.19 02:10:32 MSK)

Ответ на: комментарий от turtle_bazon 14.02.19 02:10:32 MSK

как быть с Apache. теперь апач не может читать.

Forbidden
You don't have permission to access on this server.
Server unable to read htaccess file, denying access to be safe

Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.

shrmvl
(14.02.19 05:08:30 MSK) автор топика

У php-fpm в пуле есть опция: chroot

Deleted
(14.02.19 08:54:14 MSK)

Ответ на: комментарий от shrmvl 14.02.19 05:08:30 MSK

Надо тогда сделать права на чтение группы, при этом включить пользователя www-data в группу site1 и site2.

turtle_bazon ★★★★★
(14.02.19 09:34:35 MSK)
Последнее исправление: turtle_bazon 14.02.19 09:34:55 MSK (всего исправлений: 1)

Ответ на: комментарий от Deleted 14.02.19 08:54:14 MSK

толку от этого chroot. cat /var/www/site/file.php и можно смотреть содержимое, типа пароль к BD

shrmvl
(14.02.19 10:14:32 MSK) автор топика

Ссылка

Ответ на: комментарий от turtle_bazon 14.02.19 09:34:35 MSK

 /var/www/site1

ls -l /var/www
> site1:site1 site1

в пуле также пользователь site1 группа site1

делаю usermod -a -G www-data site1

Групповые права 750 тоесть чтение выполнение.

получаю


Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.
[code/]

только паблик выполнение сталю работает но тогда в сайт можно залесть шелом.

shrmvl
(14.02.19 10:23:16 MSK) автор топика

Мой вариант: один сайт, один юзер, одна группа. Пользователь www-data (под которым работает nginx/apache) входит в группы всех сайтов. Т.е. есть сайт exmaple.com, пользователь exmaple.com и группа exmaple.com. В группу exmaple.com входят пользователи exmaple.com и www-data. Файлы сайта exmaple.com принадлежат пользователю exmaple.com и группе exmaple.com. Права 770 или ниже

Возможность чтения /etc/passwd и прочего подобного это не проблема. Чувствительные файлы (например порно с понями в хомяке пользователя) не доступны всем пользователям (права 770 или ниже). umask 007 или строже

MrClon ★★★★★
(14.02.19 10:40:53 MSK)

Ответ на: комментарий от MrClon 14.02.19 10:40:53 MSK

у меня все такжке но ничего не работает, тупо не работаю Групповые права.

сайт работает от пользователя к примеру TEST

чтобы работал апач делаю.

usermod -a -G www-data test

что не так?

shrmvl
(14.02.19 11:26:59 MSK) автор топика

Ссылка

Ответ на: комментарий от MrClon 14.02.19 10:40:53 MSK

POOL php-fpm также у тебя работает от пользователя и группы что и сайт?

shrmvl
(14.02.19 11:27:32 MSK) автор топика

Ссылка

Ответ на: комментарий от MrClon 14.02.19 10:40:53 MSK

Нихера не могу понять.

нужно добавить в www-data в группу usermod -a -G www-data test

толку 0. то вчеравно Апачу по барабану, не работает с правами 770

shrmvl
(14.02.19 12:32:53 MSK) автор топика

Ссылка

Ответ на: комментарий от shrmvl 14.02.19 10:23:16 MSK

делаю usermod -a -G www-data site1

Наоборот надо пользователя www-data в группу site1 добавить.

ls -l /var/www
site1:site1 site1

Сделай ls -la, посмотрим права доступа.

turtle_bazon ★★★★★
(14.02.19 13:55:05 MSK)

Ответ на: комментарий от turtle_bazon 14.02.19 13:55:05 MSK

)) Уже разобрался ... Спасибо. Присутствие www-data нужен в моей группе. а я Лезу в Группу Апача и думаю что-же он не дает мне доступ )))

shrmvl
(14.02.19 14:02:18 MSK) автор топика

Ссылка

Ответ на: комментарий от turtle_bazon 14.02.19 13:55:05 MSK

А есть решение, что-бы не мог пользователь просматривать через PHP к примеру

cat /etc/passwd  также ls -l /home

shrmvl
(14.02.19 14:06:34 MSK) автор топика

Ответ на: комментарий от shrmvl 14.02.19 14:06:34 MSK

Изоляция хостов /var/www/ через pool PHP-FPM (комментарий) но я сам так не пробовал, поэтому точно сказать не могу.

turtle_bazon ★★★★★
(14.02.19 15:47:42 MSK)

Ответ на: комментарий от turtle_bazon 14.02.19 15:47:42 MSK

Спасибо! Все отлично все работает. Permission denied ) не посмотреть не прочитать.

shrmvl
(14.02.19 19:52:44 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	передача картинки с arch linux на экран aka airplay

Desktop

Криво запускается Google Earth Pro в Debian на AMD

→

Похожие темы