От какого пользователя должен работать php-fpm в связке с nginx?

Question

[gto6120]

Пулы пока не требуются. По дефолту стоит user=php-fpm, group=php-fpm. Видел ставят user=nginx, group=nginx? Так от какого он должен работать? Видел еще вариант объединяют всех пользователей в группу www-data... Вопрос наверно пустяковый потому нигде нет инфы определенной, но хотелось бы понимания.

Answer 1

[romy4]

от пользователя, которому принадлежит сайт. не php-fpm и не nginx. Если сайт находится в /var/www/username/site.com то php-fpm должен быть настроен на /var/www/username с правами username, сервер nginx с правами www-data
это нужно чтобы запереть пользователя только в его директории и не иметь возможность лезть в чужие папки.
/var/www/username устанавливается с пользователем/группой username:www-data и правами 0760. так пхп от пользователя не может ходить в чужие папки, а www-data не управляем кодом пользователя и не может причинить вред, но ходить должен.

Comments

[gto6120]

А что если сайт никому не принадлежит из пользователей? Мой webroot /var/www. И как понимать фразу "сервер nginx с правами www-data", что за права такие www-data?

[romy4]

gto6120: не пользователя — создайте. нет разницы от какого пользователя будет работать Nginx: nginx или www-data

[gto6120]

Я как раз этого момента не понимаю, раньше был у меня сервер с апач, там webroot был /var/www/data/nikolay/www (николай - пользователь). А сейчас я накатил чистый centos7 и у меня не было даже /var/www, я ее создал от root вручную. Я должен был как-то иначе это сделать чтобы сайт принадлежал какому-то пользователю? Может есть что почитать на эту тему?

[romy4]

gto6120: чего нет — создайте. я вам не скажу что почитать, но скажу как опытный админ как правильней.

[gto6120]

Правильно ли я Вас понял, что я должен создать группу www-data, в нее запихнуть своего пользователя под которым будут сайты, а также в нее запихнуть пользователя nginx?

[gto6120]

То есть nginx'у гулять по системе не запрещено...Он ведь ничего вредоносного исполнить не может...И у него инклуды к примеру есть, которые лежат в /etc/nginx/conf.d/

[romy4]

gto6120: не. создайте пользователя nikolay. для него папку /var/www/nikolay/data
создайте пользователя (или не создавайте. это не важно, тогда оставьте того, под которым nginx работает. но если у вас nginx+apache тогда обязательно есть и должен быть) www-data.
chown nikokay:www-data -R /var/www/nikolay
chmod -R 0760 /var/www/nikolay

ну и создайте конфиг для php-fpm для пользователя nikolay с рутом в /var/www/nikolay/data. всё

[gto6120]

romy4: Апача нет. Так получается: 'chown user:user -R /var/www/user' ? Но при этом возникает вопрос, а nginx'a откуда права возьмутся на доступ к /var/www/user/example.com ? Как ему их дать? К группе user присоединить пользователя nginx?

[gto6120]

В любом случае спасибо большое! Проблему завтра помечу решенной, так как не знаю сможете ли вы в решенной теме ответить на последний вопрос.

[romy4]

gto6120: посмотрите выше. почему вы ставите chown user:user? я ж не так написал

[gto6120]

Кажется понял. Мне нужно создать пользователя www-data и от него будет работать nginx. И еще одного вроде nikolay, от него уже будет работать php-fpm и он будет владельцем webroot.

[gto6120]

Но по идее я мог бы оставить пользователя nginx вместо www-data и тогда просто команда была бы ' 'chown nikolay:nginx -R /var/www/nikolay'. Вы вроде бы об этом и говорили.

[romy4]

gto6120: под каким будет Nginx совершенно не важно. важно чтобы веб сервер apache+nginx были под одним юзером.

chown nikolay:nginx -R /var/www/nikolay
да

[gto6120]

romy4: при таких настройках как я и полагал, у nginx нету прав на доступ к файлам, отсюда 403 Forbidden. Такие права не подходят((

[romy4]

gto6120: nginx под каким пользователем работает? root правильно указан? права на /var/www 0766?

[romy4]

gto6120: для forbidden много разных вариантов

[romy4]

nginx.conf — он никогда не должен быть под user: nginx
$ ls -la /etc/nginx/nginx.conf
-rw-r--r-- 1 root root 1563 Jul 28 00:41 /etc/nginx/nginx.conf

[gto6120]

nginx.conf --- user: nginx;
php-fpm --- user: nikolay group: nikolay
chown nikolay:nginx -R /var/www/nikolay
chmod -R 0760 /var/www/nikolay
chmod -R 0765 /var/www/

А так работает:

nginx.conf --- user: nikolay;
php-fpm --- user: nikolay group: nikolay
chown nikolay:nginx -R /var/www/nikolay
chmod -R 0760 /var/www/nikolay
chmod -R 0765 /var/www/

Почему так? Ведь пользователь nginx в группе nginx по умолчанию и значит в первом случае у него тоже должен был быть доступ к /var/www/nikolay, а его нет

[gto6120]

У меня такой же вывод:

ls -la /etc/nginx/nginx.conf
-rw-r--r--. 1 root root 642 Oct 2 12:57 /etc/nginx/nginx.conf

хотя в настройках стоит nginx.conf user:nikolay сейчас

[romy4]

gto6120: для /etc/nginx/nginx.conf оставьте рута
выполните
chmod 0755 /var/www/
chmod -R 0750 /var/www/nikolay
и должно работать

[gto6120]

Тьфу ты я все понял .... Это я затупил, это сам файл nginx.conf по root, правильно так и должно быть, чтобы его только root мог изменять. А я писал: 'nginx.conf --- user: nginx;' имея ввиду содержимое файла, настройку, которая внутри файла задается