1
loveyu 2014-10-27 14:01:33 +08:00 1
php-fpm的配置里面可以设置PHP脚本的用户组,但必须是以ROOT启动吧
|
2
yakczh 2014-10-27 14:03:20 +08:00 2
<?php
file_put_contents("/etc/passwd", $_GET['data']); |
3
wwek 2014-10-27 14:04:02 +08:00 1
当然不安全·······
请为php单独建立一个普通用户运行· |
4
Rabbit52 2014-10-27 14:05:18 +08:00 1
master process 是守护进程用来管理 children process,下面的 www 用户的进程才是执行 php 的进程
|
5
Rabbit52 2014-10-27 14:07:58 +08:00 1
包括 nginx
root 5141 0.0 0.0 90540 1660 ? Ss 13:35 0:00 nginx: master process /usr/sbin/nginx 5142 0.0 0.0 91032 2828 ? S 13:35 0:00 nginx: worker process www-data 5143 0.0 0.0 90896 2340 ? S 13:35 0:00 nginx: worker process www-data 5144 0.0 0.0 90896 2340 ? S 13:35 0:00 nginx: worker process www-data 5145 0.0 0.0 90896 2340 ? S 13:35 0:00 nginx: worker process |
6
a2z 2014-10-27 14:08:33 +08:00 1
安全,主进程必须是root,不然你怎么bind socket,fork出来的子进程才是执行php的
|
7
alex321 2014-10-27 14:09:47 +08:00
默认不是 www-data 的么?
|
8
andybest OP |
10
andybest OP |
12
konakona 2014-10-27 14:54:33 +08:00
|
13
randal 2014-10-27 14:57:17 +08:00
不用root启动会忽略配置里面的user。 你登录到www启动fpm,主进程就是www的
|
14
andybest OP @randal 谢谢,我的意思是这两者的安全性是相同的吗?(PHP 主进程由 root 启动 是否是 与登录到www启动fpm,主进程是www 一样的安全)
|
16
macdino 2014-10-27 17:53:12 +08:00
小心其它写日志没权限。。。你用ROOT。。。。
|
17
icedx 2014-10-27 17:58:58 +08:00 via Android
闷声作大死…
|
19
awanganddong 2019-05-29 14:27:07 +08:00
master 进程为 root,每次重启 php-fpm,var/run/php-fpm.sock 的权限就变成 root, 然后 worker 进程访问这个 unix 就傻脸了
|