nginx+php-fpm是现在配置php环境非常流行的组合之一。nginx以其并发能力强，轻巧，速度快而受到非常多人的青睐，php-fpm以其安全，处理php速度快而成为与nginx的最佳组合。php-fpm提供有一个非常重要的功能chroot，它可以把指定的网站完完全全限制在一个目录下，可以对系统和其它虚拟机起到很好的隔离效果，这对系统的安全无疑是加强了不少，下面介绍如何配置。

我们假设域名为www.,网站根目录为/home/chroot/www./web，需要把此网站限制在/home/chroot/www.。

一、php-fpm.conf配置

打开php-fpm.conf文件，把chroot更改为chroot = /home/chroot/www.

二、nginx配置

我们上面把www.站点限制在了/home/chroot/www.，所以对于php-fpm，此网站根目录已经变成是/web，所以我们需要更改nginx传递给php-fpm的网站根目录地址。
找到fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;，更改为fastcgi_param SCRIPT_FILENAME /web$fastcgi_script_name;

三、一些目录创建

四、修复解析

把www.的php完全限制在一个目录下后，导致了php无法解析域名，以32位系统为例(64位库文件位置为lib64)下面是修复的步骤,

这样php就可以解析域名了。

五、修复sendmail功能

同样chroot目录后，就无法发送邮件了，我们这里使用mini_sendmail代为发送邮件。同样以32位系统为例。

六、与禁用函数相比，Chroot有什么优点呢？

　　禁用函数是针对整个PHP程序而言的，所有需要通过PHP程序进行解析的文件，都会受到禁用函数的设置。网站程序不同，那么有可能需要的函数不同，不同的虚拟主机无法单独设置。而Chroot可以根据不同的虚拟主机,进行特异化设置。对于需要使用特殊函数的程序，可以关闭Chroot，来保证网站程序的正常运转；程序不需要调用特殊的程序，就可以开启Chroot模式；如果只是要启用一个或两个特定的程序，你可以仿照如下的过程添加函数。比如说，当我们开启Chroot时，PHP程序是无法使用sendmail()函数来发信的，我们可以使用mini_sendmail替代sendmail来修复发信。

七、有什么需要注意的呢？

Tips One:Chroot模式下，各种探针，如雅黑探针将会失效，报错。

Tips Two:Chroot模式可用做在线shell模拟器，安全真实。

综合以上分析，我建议，与其使用死板的禁用函数，我们为什么不试试更加好用的Chroot。

您可能感兴趣的文章: