Nginx& PHP -fpm.sock 文件权限如何设置

如果没有不同服务共用 用户 用户组，两种方法没区别
如果有其他服务共用服务，可能会造成一定的安全隐患

如果要做非常细致的权限隔离，docker 欢迎你

不考虑 docker 的话
nginx 和 php 共用一个 www 用户
代码部署用 deploy 用户，log 文件夹给 www 写权限，其他只读

127.0.0.1:9000 就是本机可访问，有什么安全隐患？

道听途说 socket 方式优于 127.0.0.1:9000，所以推荐第一种。

@cxbig #3
SSRF, 可以傳 payload 到 fpm 跑任何想跑的 code

@cs8425 首先要解决怎么连上的问题，其次才能谈传什么

www-data 应该是 debian 系的？
nginx 不是系统自带的包吗？

考虑到 nginx 也得提供静态文件服务，应该把它改为 www-data 身份

上 docker 吧，权限配错了问题也不大的。

chmod 777 ****.socket

@julyclyde 请谷歌 SSRF

@julyclyde 看错了，是应该先连上去

[root@proxy ~]# ps -ef | grep nginx
root 10349 10314 0 09:41 pts/0 00:00:00 grep --color=auto nginx
root 10708 1 0 Feb08 ? 00:00:00 nginx: master process /usr/local/openresty/nginx/sbin/nginx -c /usr/local/openresty/nginx/conf/nginx.conf
nginx 10709 10708 0 Feb08 ? 00:01:54 nginx: worker process
nginx 10710 10708 0 Feb08 ? 00:01:33 nginx: worker process

[root@proxy ~]# ps -ef | grep php-fpm
root 1197 1 0 Feb08 ? 00:00:04 php-fpm: master process (/etc/php-fpm.conf)
php-fpm 2890 1197 0 07:50 ? 00:00:49 php-fpm: pool www
php-fpm 3288 1197 0 07:59 ? 00:00:47 php-fpm: pool www
php-fpm 4409 1197 0 08:19 ? 00:00:40 php-fpm: pool www

[root@proxy ~]# ls -tal /run/php-fpm/www.sock
srw-rw---- 1 nginx nginx 0 Feb 8 11:29 /run/php-fpm/www.sock

然后 /etc/php-fpm.d/www.conf 里头的几个重要配置如下
listen = /run/php-fpm/www.sock
user = php-fpm
group = php-fpm
listen.owner = nginx
listen.group = nginx

给楼主参考一下，应该会有所帮助。

@julyclyde #6
如果本機在跑的 php/其他服務有 SSRF 的漏洞
(你很難保證永遠不會有 SSRF 漏洞的啊)
就有可能直連 127.0.0.1:9000 跑 payload 的
關鍵字: SSRF fcgi
樓主應該是顧慮這個可能的隱患才會想只用 unix socket 的...?

@cs8425 app 有问题，没有有效过滤上传内容和参数。关 fpm 什么事？

@julyclyde 我用了快十年了，没听说过 nginx 是系统自带的。

@DogeOW 我指的是 linux 发行版里包含的软件包