Как настроить работу fpm в связке с nginx?

Question

[Aleksandr Yurchenko]

Здравствуйте.

Хотелось бы уточнить, как настроить работу fpm (вплане безопасности) в связке с nginx. Интересует один вопрос: как сделать, что бы создаваемые файлы (проще прошения, если выразился некорректно) были доступны для редактирования/удаления текущим пользователем. Исходные данные:

• Пользователь добавлен в группы nginx, www-data
  
• Nginx стартует от имени пользователя www-data
  
• Внесены изменения в /etc/php/7.4/fpm/pool.d/www.conf (мне кажеться настроен он не совсем правильно, хоть файлы сейчас и доступны для удаления/редактирования)
  

Конфиг www.conf (сюда не влез, поясню момент, который вызывает опасения):

; Unix user/group of processes
; Note: The user is mandatory. If the group is not set, the default user's group
;       will be used.
user = user
group = www-data

Выходит, что fpm запускается от имени текущего пользователя и как мне кажеться это не совсем правильно. В данном вопросе "сильно плаваю", поэтому хотелось бы спросить - корректно ли это? И если нет, как лучше реализовать работу fpm, что бы создаваемые файлы были доступны для редактирования/удаления.

Comments

[Alexey Dmitriev]

Корректно для чего?
Из вопроса непонятно - какого именно вектора атаки вы опасаетесь.

[Aleksandr Yurchenko]

Alexey Dmitriev, Про корректность и безопасность исхожу из "обдуманной" настройки. Поясню, например можно не париться и когда возникнет проблема с редактированием файла/папки просто прописать chmod -R 777 {path|file}, что мягко говоря сомнительное занятие.

Дело в том, что данный прием, с изменением пользователя из под которого будет стартовать fpm я нашел в интеренете, а среди ответов встерчао вышеописанный (chmod -R 777 ...), а делая что-то "по советам" до конца не понимая последсвий - прямой путь к созданию зияющий дыры в безопасности.

Опишу свою ситуацию, недавно приобрел VPS, сейчас его настроил - никаких hightload проектов на нем не предполагается, конфиденциальные данные тоже хранить не собираюсь. Просто хочеться "один раз настроить и забыть".

[Alexey Dmitriev]

Aleksandr Yurchenko, в вашем вопросе нет ничего про 777. Зачем это вообще если 664 хватит:?
А совпадающий пользователь и группа у nginx и fpm - это нормально, ибо на редактирование и процесс php может работать и сам веб сервер. Если у вас не так-разведите пользователей.

Answer 1

[ky0]

Кто такой "текущий пользователь"? Какой-то человек, который заходит в интерактивном режиме на сервер по SSH/FTP и трогает файлы?

В таком случае нужно не его добавлять в техническую группу www-data - потому что это может дать ему доступ к общим конфигам и возможности рулить сервисами, а наоборот - www-data добавить в группу пользователя, чтобы веб-сервер и РНР могли трогать его файлы, но не наоборот.

Comments

[Aleksandr Yurchenko]

Чуть подробнее описал в комментарии под постом. То есть если VPS администрирую только я (больше пользователей нет и не предполагается), то такой вариант решения (запуск fpm из под текущего пользователя) имеет место быть?

Решил задать вопрос, так как встречал альтернативное решение данной проблемы. В том же файле www.conf предлагалось расскомментировать строчку listen.mode

listen.owner = www-data
listen.group = www-data
;listen.mode = 0660

Что в теории тоже должно было решить проблему. Поэтому стал сомневаться и решил спросить у знающих :)

[ky0]

Aleksandr Yurchenko, если вы на сервере один - достаточно запускать не из-под рута, остальное - вкусовщина. Дофолтные разрешения в наиболее распространённых дистрибутивах 775/664, поэтому даже созданный кем-то другим файл будет доступен для веб-сервера.

[Aleksandr Yurchenko]

ky0, на сервере Ubuntu 20.04

Linux 5.4.0-80-generic #90-Ubuntu SMP Fri Jul 9 22:49:44 UTC 2021 x86_64 x86_64 x86_64 GNU/Linux

. Вас понял, тогда оставлю запуск fpm от www-data.

Спасибо за совет!

[Александр Фалалеев]

могли трогать его файлы

Прошу прощения, но не могу удержаться:

Трогай мои файлы только очень нежно :))))

Answer 2

[SagePtr]

Я обычно в папке fpm/pool.d/ для каждого юзера задаю отдельный пул, под которыми работают дочерние процессы php-fpm. У каждого пула - отдельный сокет, к которому подключается nginx. Отдельный сайт на сервере - отдельный юзер (чтобы при взломе одного из них не пострадали другие).
Скриптам, содержащим какие-либо конфиги или что-то конфиденциальное, меняю права на 600, чтобы nginx их не мог читать напрямую, а только через php-fpm дёргать на выполнение.