PHP-FPM之Chroot执行环境详解

发布时间：2020-05-23 20:20:11 所属栏目：PHP 来源：互联网

导读：在PHP-FPM中设立chroot，有很好的隔离作用，提高系统安全性，但是要想建立一个合理的PHP-FPM Chroot环境难度有点大，比用debootstrap等工具建立还要麻烦，这篇文章就详细介绍了PHP-FPM之Chroot执行环境，需要的朋友可以参考下。

在PHP-FPM中设立chroot，有很好的隔离作用，提高系统安全性，但是要想建立一个合理的PHP-FPM Chroot环境难度有点大，比用debootstrap等工具建立还要麻烦，下面通过参考相关资料，把PHP-FPM之Chroot执行环境整理出来，分享给大家。

本文以Ubuntu 14.04.2为例，php-fpm使用的是 ppa:ondrej/php5-5.6 提供的PHP5.6版本，跟系统自带以及Debian系统的php-fpm和系统目录结构应该是一致的。CentOS请自行调整。

php-fpm的chroot环境配置和所使用的服务器前端没有关联，也不强求Apache/Nginx进行chroot。当然那样更安全——也更复杂。

1.建立目录结构

chroot的目录选择为 /var/www/chroot ，其中页面文件放置在 /var/www/chroot/public 。

执行下面的命令建立基本的目录结构：

下面是此时目录结构，之后还会添加一些新的东西：

../.. #注1

注1：这个软连接用于解决Apache/nginx传给php-fpm的 SCRIPT_FILENAME 在进入chroot后找不到文件（访问php页面返回"File not found"）的问题。

以nginx为例，通常设置 SCRIPT_FILENAME 为 $document_root$fastcgi_script_name ，传给php-fpm的脚本路径就是 /var/www/chroot/public/index.php 。而由于php-fpm处在chroot环境下，所以它实际试图去访问的路径就变成了 /var/www/chroot + /var/www/chroot/public/index.php 当然是不存在的。

所以使用一个软连接把chroot环境下的 /var/www/chroot 链接到根目录，就能够正常访问脚本了。

当然也可以将 SCRIPT_FILENAME 设置成 /public$fastcgi_script_name 。但是这样硬编码不利于配置的迁移，仅能用于chroot的环境，切换回非chroot环境的话还需要修改配置。所以不建议这么做。（顺便说一句，有很多老教程里也不使用 $document_root ，直接硬编码根目录，当然也是不可取的）

注2：chroot环境并不是100%安全的。由于php-fpm在chroot环境中的执行权限是www-data，仍然建议把非必要的目录的拥有者设置为root来减少不必要的访问权限。chroot不等于安全，参考 chroot最佳实践中列出的一些原则。从更安全的角度上讲之后最好也将bin、lib、sbin等目录的读写权限去掉，只留可执行权限，不过也没大差别了……

注3：cp -a除了拷贝文件内容外也会复制文件的权限、模式等信息，可以很方便的直接拿来拷贝zero、urandom和null这三个关键的设备文件。mknod似乎是更为稳妥的方式，不过cp -a我使用起来似乎也没问题。

注4：chmod --reference=XXX会参考XXX的权限设置后面的权限。tmp就不提了，关键是后面的 var/lib/php5/sessions 是php存放session文件的目录，需要让www-data有读写的权限。建议设置完之后再看一眼。当然后面会有测试。

2.PHP-FPM的配置

建立一个新的php-fpm的执行pool来搭建chroot环境。并不建议直接修改php-fpm.conf，因为这样是全局生效的，如果有多个php站点的话会共用一套chroot环境。

其实很多php-fpm的教程都忽略了php-fpm的pool的配置，导致很多人一台服务器上所有站点都共用一套配置，尤其是共用一套php.ini的配置，实际上是不合理的。应当根据站点的需求单独建立pool并在其中调整参数。

在 /etc/php5/fpm/pool.d/ 下新建 chroot.conf （注意必须以.conf结尾，才能被php-fpm.conf调用）:

pm = dynamic
pm.max_children = 5
pm.start_servers = 1
pm.min_spare_servers = 1
pm.max_spare_servers = 3

chroot = /var/www/chroot
chdir = /public
;security.limit_extensions = .php
php_flag[display_errors] = on
php_value[date.timezone] = Asia/Hong_Kong
;php_admin_value[session.gc_probability] = 1
;php_admin_value[open_basedir] = "/tmp/:/public/:/var/www/chroot/public/"

前面的参数都比较熟悉了。只需要简单的设置chroot为配置好的环境根目录就可以开启chroot了。通过执行 php5-fpm -t 测试一下之后，用 service php5-fpm reload 即可启用新的pool。当然Apache/nginx对应的配置中要设置好后端。

提一下最后几行。倒数第四行打开了 display_errors ，以便之后对chroot下的php的功能进行测试，测试完了记得注释掉。

设置 session.gc_probability 允许php进程自行对session进行删除回收。正常情况下session是由php添加的cron任务清理的，但是似乎php不会自动清理chroot环境下的session。当然也可以自己在cron.d下添加自动执行的脚本来清理，就不用开启这个选项了。

3.修复Chroot环境下PHP的各项功能

在/var/www/chroot/public下新建一个test.php，写入以下内容：

代码如下:

这里主要测试的功能是：session、DNS解析、时间和日期、邮件mail()函数。

访问上面的测试页面，提示No such directory or file或者Permission denied说明session配置不正确。 gethostbyname 返回的不是127.0.0.1或者::1，则说明DNS解析没有生效。提示 timezone database is corrupt 之类的，说明时间和日期有错误。mail()也会有各种错误提示。

session就不提了，设置好目录权限就没有问题。主要处理一下后面三个问题，也是php的chroot环境主要需要处理的内容。

3.1 域名解析/时区等问题

mail()的解决方法大同小异，放后面谈。前面的域名解析等问题这里我介绍两种解决方法。方法1是参考Kienzl的简便方法，方法2是大部分教程采用的方法。

方法1：使用nscd

nscd是(e)glibc的“Name Service Caching Daemon”。除了处理gethostbyname()这样的函数外，也处理getpwnam()等需要访问/etc/passwd的函数。(e)glibc访问nscd的unix socket， /var/run/nscd/socket 来通过nscd获取这些内容，如果不能连接到nscd则转而自行进行解析。

也就是说，只要装好nscd，并且让chroot环境里的程序能够访问到socket连接上nscd，就可以把chroot环境内的解析请求转由chroot外顺利进行了。由于/var/run一般是tmpfs，硬链接无法跨文件系统使用，所以可以使用 mount -bind 来把/var/run/nscd目录mount到chroot环境中同样的位置去即可。

同样的道理，用 mount -bind 把/usr/share/zoneinfo目录mount到chroot环境里，配合在php-fpm的pool里设置date.timezone就可以非常直接而暴力的解决时区问题。

先执行 apt-get install nscd 安装nscd，然后为了能够让 mount -bind 自动执行，把下面的脚本存为 /etc/init.d/php-chroot

/dev/null for d in $DIRS; do mkdir -p "${CHROOT}${d}" mount --bind -o ro "${d}" "${CHROOT}${d}" done ;; stop) for d in $DIRS; do umount "${CHROOT}${d}" done ;; *) echo "Usage: $N {start|stop}" >&2 exit 1 ;; esac exit 0

执行 update-rc.d php-chroot defaults 来让脚本在启动时执行。如果有多个chroot环境以及多个目录需要bind-mount，可以自行添加一个循环改写。

这个方法的好处是简单易行，不需要拷贝大量etc下的配置文件和库文件到chroot环境中。使用nscd在解决域名访问的问题过程中也顺道解决了/etc/passwd和/etc/group。但是bind-mount和nscd的安全性尚没有确切的说法，只能说so far so good。另外 mount -bind 会消耗一定的系统资源，有评论称大约一个mount 大概会消耗500k内存，所以对于大量的chroot环境（几百个）不见得适合。

方法2：拷贝/etc配置文件和库文件

这是最传统而常用的方法，也相对比较复杂。到底拷贝哪些配置、哪些库文件因发行版和软件版本而异，很难有定论也不好调试。而且一旦系统升级，对应的库文件也需要进行更新，工作量很大。我没有采用这个方法，但是简要的介绍一些比较靠谱的方法分享一下。

域名解析。需要拷贝/etc/resolv.conf，/etc/hosts，/etc/nsswitch.conf到chroot环境下的etc目录下。还需要拷贝一系列的库文件，主要是libnss_*.so，libresolv.so，libsoftokn3.so。具体libnss_*.so拷贝哪些，可以打开nsswitch.conf看列出了哪些。

时区配置。拷贝/etc/localtime，/usr/share/zoneinfo/zone.tab，和/usr/share/zoneinfo目录下所使用时区的文件。

其它常用配置。/etc/passwd和/etc/group有时也是需要的，但是内容似乎可以伪造，至少可以选择性的填写不用完全拷贝主系统里的。

如果使用的时候仍然出现问题，可以使用strace来查看php进行了哪些调用使用了哪些库文件。先执行：

代码如下: 查看pool的进程pid（可以在pool设置里先把子进程数目限制到1个方便调试）。然后执行：

bash

strace -p 进程pid -o chroot1.txt& #有多个子进程就修改pid执行多次，输出改为chroot2/3.txt存到不同文件里此时在页面里执行各种函数，然后查看输出文件里记录了哪些库文件，对应拷贝到chroot环境里即可。

这个方法很麻烦，尤其是第一次安装设置和后续系统更新时。当然身为运维人员写写shell脚本简化工作肯定是基本功了。这种方法没有额外的内存消耗，可以部署大量chroot环境，当然硬盘消耗会高一点，而且安全性也经历了长久的考验

3.2 修复mail()

（编辑：安卓应用网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!