对于在一台服务器上有多个虚拟主机的人来说,Apache有一个很好用的地方---配置php_admin_value,在里面配置一下 open_basedir就可以了。
但是Nginx却没有这样的设置,一旦某用户在他的虚拟主机下上传了一个WEBSHELL之类的东西,其他用户数据就遭殃了,今天就来解决这样的问题,怎么样让用户无法旁注。
第一步,需要在php.ini 设置open_basedir的值,比如网站目录全部在 /www/web/ 下面,
例如 /www/web/xxx.com/ 下面是xxx.com网站
那么我可以设置php.ini中 open_basedir="/www/web/:/tmp/" (注意,/tmp 必须设置,否则影响上传文件,如果你设置了 upload_tmp_dir ,那么把/tmp设置成 upload_tmp_dir 的值)
然后执行
# chmod 755 -R /www/web/
# chmod 711 /www/web/
这时,网站依然能访问,可是你试试上传一个WEBSHELL,看看还能列 /www/web/的目录么?
但是问题又来了,如果说/www/web/下目录命名非常有规律,很容易被猜解到,直接输入 /www/web/xxx.com 就可以列别人的目录。
别急,还有办法,把 /www/web/xxx.com 重命名为复杂的名字,比如 /www/web/xxx.com_41237415sdfad,
再把PHP.INI 里面的 display_errors 关闭,攻击者基本上就会放弃了。