CentOS 7上PHP默認(rèn)是以apache或者nobody的身份運行的����,這種方式下由于PHP運行需要的權(quán)限比較大,會有安全隱患�����,還可能會受到服務(wù)器其他用戶影響����。
SuPHP是一個apache模塊�����,允許PHP在與Apache用戶不同的Linux用戶之下�����。 這可以提高托管網(wǎng)站的安全性���,因為您可以在其他用戶下運行每個網(wǎng)站的PHP腳本�����。 本教程介紹了從源代碼安裝的CentOS 7.2上的SuPHP����,因為CentOS 7.2沒有可用的SuPHP軟件包。
先決條件
您將安裝CentOS 7.2或更高版本的服務(wù)器����,我將使用本教程作為我的設(shè)置的基礎(chǔ)。 在第一章中��,我將安裝Apache Web服務(wù)器�。 如果您已經(jīng)安裝了apache,請立即從第2章開始�����。
我的服務(wù)器將使用hostname server1.example.com和IP地址192.168.1.100���。 在以下教程中將這些值替換為服務(wù)器的主機名和IP地址���。
為安全起見���,建議安裝防火墻,如果您還沒有安裝防火墻��,可以使用以下命令進行安裝:
yum -y install firewalld
啟動防火墻并使其在啟動時啟動���。
systemctl start firewalld.service
systemctl enable firewalld.service
接下來��,打開您的SSH端口�����,以確保您能夠通過SSH連接到服務(wù)器����。
firewall-cmd --permanent --zone=public --add-service=ssh
firewall-cmd --reload
1���、安裝Apache 2.4和PHP 5
Apache和PHP在CentOS基礎(chǔ)存儲庫中可用,因此我們可以使用yum安裝這兩個軟件包�。
安裝Apache和Aapache開發(fā)包,其中包含以后的SuPHP編譯所需的文件�。
yum -y install httpd httpd-devel
PHP安裝(我添加了一些常用的PHP模塊):
yum -y install php php-mysql php-gd php-pear php-xml php-xmlrpc php-mbstring curl
我們必須使Apache能夠在引導(dǎo)時啟動并啟動服務(wù)。
systemctl start httpd.service
systemctl enable httpd.service
我們必須打開HTTP(80)和HTTPS(443)端口���,使得Web服務(wù)器可以從其他計算機訪問��。 執(zhí)行以下命令配置防火墻�。
firewall-cmd --permanent --zone=public --add-service=http
firewall-cmd --permanent --zone=public --add-service=https
firewall-cmd --reload
2、安裝SuPHP
在此步驟中���,我們將從源代碼編譯SuPHP��。 安裝開發(fā)工具來設(shè)置所需的構(gòu)建鏈��。
yum -y groupinstall 'Development Tools'
并且wget可以下載源文件和nano編輯器�����。
yum -y install wget nano
下載SuPHP源tar.gz存檔并解壓縮它����。
cd /usr/local/src
wget http://suphp.org/download/suphp-0.7.2.tar.gz
tar zxvf suphp-0.7.2.tar.gz
CentOS 7使用Apache 2.4���,所以我們必須補丁suphp���,然后我們可以編譯它aganst Apache。 補丁應(yīng)用如下:
wget -O suphp.patch https://lists.marsching.com/pipermail/suphp/attachments/20130520/74f3ac02/attachment.patch
patch -Np1 -d suphp-0.7.2 < suphp.patch
cd suphp-0.7.2
autoreconf -if
[root @ server1 suphp-0.7.2]#autoreconf -if
libtoolize:將輔助文件放在AC_CONFIG_AUX_DIR,`config'中�����。
libtoolize:復(fù)制文件`config / ltmain.sh'
libtoolize:考慮將`AC_CONFIG_MACRO_DIR([m4])'添加到configure.ac和
libtoolize:重新運行l(wèi)ibtoolize�,以保持正確的libtool宏in-tree。
libtoolize:考慮在Makefile.am中的ACLOCAL_AMFLAGS中添加`-I m4'�。
configure.ac:9:warning:AM_INIT_AUTOMAKE:不支持雙參數(shù)和三參數(shù)形式。 有關(guān)更多信息�,請參閱:
configure.ac:9:http://www.gnu.org/software/automake/manual/automake.html#Modernize-AM_005fINIT_005fAUTOMAKE-invocation
configure.ac:24:安裝'config / config.guess'
configure.ac:24:安裝'config / config.sub'
configure.ac:9:安裝'config / install-sh'
configure.ac:9:安裝'config / missing'
src / Makefile.am:安裝'config / depcomp'
[root @ server1 suphp-0.7.2]#
autoreconf命令應(yīng)用補丁,現(xiàn)在我們可以如下配置新的源����。 注意: configure命令是一行!
./configure --prefix=/usr/ --sysconfdir=/etc/ --with-apr=/usr/bin/apr-1-config --with-apache-user=apache --with-setid-mode=owner --with-logfile=/var/log/httpd/suphp_log
然后編譯并安裝SuPHP�����。
make
make install
然后通過添加一個新的suphp.conf文件將suPHP模塊添加到Apache配置中��。
nano /etc/httpd/conf.d/suphp.conf
具有以下內(nèi)容�。
LoadModule suphp_module modules/mod_suphp.so
...并創(chuàng)建文件/etc/suphp.conf如下:
nano /etc/suphp.conf
[global]
;Path to logfile
logfile=/var/log/httpd/suphp.log
;Loglevel
loglevel=info
;User Apache is running as
webserver_user=apache
;Path all scripts have to be in
docroot=/
;Path to chroot() to before executing script
;chroot=/mychroot
; Security options
allow_file_group_writeable=true
allow_file_others_writeable=false
allow_directory_group_writeable=true
allow_directory_others_writeable=false
;Check wheter script is within DOCUMENT_ROOT
check_vhost_docroot=true
;Send minor error messages to browser
errors_to_browser=false
;PATH environment variable
env_path=/bin:/usr/bin
;Umask to set, specify in octal notation
umask=0077
; Minimum UID
min_uid=100
; Minimum GID
min_gid=100
[handlers]
;Handler for php-scripts
x-httpd-suphp="php:/usr/bin/php-cgi"
;Handler for CGI-scripts
x-suphp-cgi="execute:!self"
最后�����,我們重新啟動Apache:
systemctl restart httpd.service
3、使用SuPHP配置Apache Vhost
在本章中����,我將介紹如何在單獨的用戶下運行PHP的apache中添加虛擬主機。 我將使用域名www.example.com作為網(wǎng)站��,PHP將作為用戶和組“ web1 ”運行����,網(wǎng)站的文檔根目錄是/var/www/example.com
首先,添加一個新的用戶和組“web1”���。
useradd web1
添加網(wǎng)站根目錄��。
mkdir /var/www/example.com
chown web1:web1 /var/www/example.com
現(xiàn)在在apache conf.d目錄中添加虛擬主機配置文件�����。
nano /etc/httpd/conf.d/example.com.conf
為此內(nèi)容:
<VirtualHost *>
DocumentRoot /var/www/example.com
ServerName example.com
ServerAdmin webmaster@example.com
<FilesMatch ".+\.ph(p[345]?|t|tml)$">
SetHandler None
</FilesMatch>
<IfModule mod_suphp.c>
suPHP_Engine on
<FilesMatch "\.php[345]?$">
SetHandler x-httpd-suphp
</FilesMatch>
suPHP_AddHandler x-httpd-suphp
</IfModule>
</VirtualHost>
在ServerName和ServerAdmin行中用自己的域替換域名���。
然后重新啟動apache來應(yīng)用配置更改。
systemctl restart httpd.service
4���、測試SuPHP設(shè)置
在本章中�,我將向您展示在本網(wǎng)站測試PHP的幾種方法。 首先��,我將創(chuàng)建一個使用phpinfo()函數(shù)來顯示PHP是否正常工作的文件�,并且現(xiàn)在是否以CGI模式運行。
用nano創(chuàng)建一個info.php文件:
nano /var/www/example.com/info.php
并將以下行添加到新文件中:
<?php
phpinfo();
然后將文件的所有者更改為web1用戶和組�。
chown web1:web1 /var/www/example.com/info.php
在網(wǎng)絡(luò)瀏覽器中打開文件http://example.com/info.php的URL,它將顯示以下頁面���。
重要的是顯示CGI / FastCGI的ServerAPI行����。 這表明PHP是通過SuPHP而不是mod_php運行的��。
現(xiàn)在我將測試PHP是否運行在正確的用戶(web1)下����。 SuPHP如何知道使用哪個用戶? SuPHP將PHP切換到擁有PHP腳本的用戶��,因此我們的Web根文件夾/var/www/example.com中的所有PHP文件都由web1用戶和組擁有非常重要���。
那么���,如何測試PHP是否使用正確的用戶? 一種方法是執(zhí)行返回用戶名的“whoami”命令�。
我將在網(wǎng)站root中創(chuàng)建一個新腳本testuser.php:
nano /var/www/example.com/testuser.php
與此內(nèi)容:
<?php
system('whoami');
然后將文件的所有者更改為web1用戶和組。
chown web1:web1 /var/www/example.com/testuser.php
在web瀏覽器中打開http://example.com/testuser.php���,結(jié)果應(yīng)該是: web1
SuPHP被配置并作為本網(wǎng)站的用戶執(zhí)行PHP文件��。 從網(wǎng)站目錄中刪除測試文件�,并開始添加您的網(wǎng)站腳本����。
5、將此CentOS 7.2服務(wù)器下載為虛擬機
此設(shè)置可用于以ova / ovf格式(與VMWare和Virtualbox兼容)的虛擬機下載���,以了解用戶的身份����。
VM的登錄詳細信息
root密碼是:howtoing
“管理員”用戶的密碼是:howtoing
請在第一次登錄時更改兩個密碼����。
虛擬機的IP地址為192.168.1.100
6、鏈接
CentOS
Apache Web服務(wù)器
SuPHP
