PHP 的启动主进程是 root 用户，这是否安全？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 4100 天前的主题，其中的信息可能已经有所发展或是发生改变。

后台进程状态是：

root 16750 0.0 0.8 22200 4124 ? Ss 13:29 0:00 php-fpm: master process (/usr/local/php/etc/php-fpm.conf)
www 16751 0.0 0.7 22200 3652 ? S 13:29 0:00 \_ php-fpm: pool www
www 16752 0.0 0.7 22200 3652 ? S 13:29 0:00 \_ php-fpm: pool www

在这个环境下执行的 PHP 脚本是具有 root 权限还是仅有 www 权限？

是否可以/怎样使用 www 用户启动 php-fpm: master process ？

PHP

权限

19 条回复 • 2019-05-29 14:27:07 +08:00

loveyu

2014 年 10 月 27 日

php-fpm的配置里面可以设置PHP脚本的用户组，但必须是以ROOT启动吧

yakczh

2014 年 10 月 27 日

<?php
file_put_contents("/etc/passwd", $_GET['data']);

wwek

2014 年 10 月 27 日

当然不安全·······

请为php单独建立一个普通用户运行·

tunetoystory

2014 年 10 月 27 日

master process 是守护进程用来管理 children process，下面的 www 用户的进程才是执行 php 的进程

tunetoystory

2014 年 10 月 27 日

包括 nginx
root 5141 0.0 0.0 90540 1660 ? Ss 13:35 0:00 nginx: master process /usr/sbin/nginx
5142 0.0 0.0 91032 2828 ? S 13:35 0:00 nginx: worker process
www-data 5143 0.0 0.0 90896 2340 ? S 13:35 0:00 nginx: worker process
www-data 5144 0.0 0.0 90896 2340 ? S 13:35 0:00 nginx: worker process
www-data 5145 0.0 0.0 90896 2340 ? S 13:35 0:00 nginx: worker process

a2z

2014 年 10 月 27 日

安全，主进程必须是root，不然你怎么bind socket，fork出来的子进程才是执行php的

alex321

2014 年 10 月 27 日

默认不是 www-data 的么？

andybest

2014 年 10 月 27 日

@alex321 这个是我手动改为 www 用户，这个无所谓，可视为安全账户
@yakczh 测试了下没有 /etc/passwd 写/编辑权限，但是可以读取该文件:

echo readfile("/etc/passwd");

能被读取似乎是无解的吧？

andybest

2014 年 10 月 27 日

@Rabbit52 谢谢，也就是说，nginx和php 后台进程这样是安全的是对吗？（主进程由root启动）

andybest

2014 年 10 月 27 日

@loveyu @wwek 已经在 php-fpm.conf 中修改了启动用户为 www ，所以启动后是:

root 16750 0.0 0.8 22200 4124 ? Ss 13:29 0:00 php-fpm: master process (/usr/local/php/etc/php-fpm.conf)
www 16751 0.0 0.7 22200 3652 ? S 13:29 0:00 \_ php-fpm: pool www
www 16752 0.0 0.7 22200 3652 ? S 13:29 0:00 \_ php-fpm: pool www

tunetoystory

2014 年 10 月 27 日

@andybest 嗯，安全的。