如果nginx的work process和php-fpm的运行权限相同,在logrotate的影响下,会导致被上传webshell后 被修改accesslog
故安全配置:
nginx.conf:
user nobody nogroup
php-fpm.conf:
# 与web目录的文件权限一致(php中即便有webshell 也是此权限)
user:www-data
group:www-data
# 给nginx运行用户执行fpm.sock权限,与其一致
listen-user nobody
listen-group nogroup
www目录:
#仅上传文件夹uploads 要与php-fpm运行用户相同,保证php对上传文件夹可选。其他文件权限可设为用户登录账户
chown www-data:www-data /html
nginx access.log
启动nginx时会自动生成该日志,权限为启动nginx的权限(用户登录账户权限)。但是syslog、logrotate 有时会自动修改access.log的权限为work process运行权限。此处要小心 (/etc/logrotate.d/nginx)