Какой путь прописать для upload_tmp_dir?

Question

[Анатолий]

В целях безопасности, многие источники рекомендуют прописывать в php.ini
open_basedir какую-то конкретную директорию на сервере, например:
open_basedir = /var/www/
а временные файлы размещать вне этой директории, чтобы нельзя было перехватить клиентские сессии, к примеру:
upload_tmp_dir = /var/php_session

Немного запутался в этом вопросе, стоит ли так делать, и если стоит, то почему я наблюдаю ошибки в логах, с сообщениями типа:
временные файлы upload_tmp_dir должны быть размещены внутри open_basedir.
А если это так, то теряется смысл указывать upload_tmp_dir и open_basedir.
Если так прописывать нельзя, то почему множественные источники пишут этот бред?

Пример строки лога, имя домена заменено на фейковое.
2019/01/16 10:43:18 [error] 1822#0: *3233 FastCGI sent in stderr: "PHP message: PHP Warning: file_exists(): open_basedir restriction in effect. File(/var/php_session/php3HjuuI) is not within the allowed path(s): (/var/www/) in /var/www/mysite.com/www/wp-includes/functions.php on line 2297" while reading response header from upstream, client: 192.168.5.1, server: mysite.com, request: "POST /wp-admin/async-upload.php HTTP/2.0", upstream: "fastcgi://unix:/var/run/php7-fpm.sock:", host: "mysite.com", referrer: "https://mysite.com/wp-admin/upload.php"

Answer 1

[Виктор Таран]

можешь не париться
Во первых open_basedir снижает скорость сайта притом значительно
во вторых он устаревший и по факту не влияет ни на что
что каксается сессий то вообще забей вероятность перехвата сессии вообще крайне мала тем более если у тебя на сервере только твои проекты.
Если ты паришся этим вопросом то ответь кто обновляет и как часто обновляетс linux.
Как часто ты обновляешь ядро сайта ?
Как часто ты обновляешь версии пхп?
Ответ никто и никак.
Следовательно если говорить о дырах, то эта куда как больше

Comments

[Анатолий]

Ввести пару команд для обновления (системы, ядра, пхп), как бы не проблематично, скрипт все делает легко и быстро.
По вопросу понял, закрываю его.

PS. Зачем же пишут эти статьи по безопасности?

[Виктор Таран]

затем что есть проекты в которых это очевидно важно, а так же есть ресурсы следить за всем вместе.
По фкту могу вам сказать что намного больше значения имеет какой движок чем какие настройки сайта, взламывают в 99% случаях именно определенную уязвимость в движке или компаненте или модуле или плагине.
Тут опен бейс дир вообще не плшет

[Анатолий]

Виктор Таран, "затем что есть проекты в которых это очевидно важно, а так же есть ресурсы следить за всем вместе", еще раз повторю, что оно работать не будет не на одном проекте, так как так делать нельзя!
К сожалению не вспомню урлы, где читал этот бред.

Answer 2

[Vamp]

upload_tmp_dir нужно указывать в пределах open_basedir, иначе скрипты сайта не смогут получить доступ к загружаемым файлам. Аналогично нужно настроить ещё session.save_path и sys_temp_dir, иначе не будут работать сессии и функции для работы с временными файлами.

Смысл появляется когда у вас больше одного сайта на сервере. В этом случае open_basedir используется для изоляции сайтов друг от друга - чтобы взлом одного сайта не привёл ко взлому всех остальных сайтов на сервере.

Пару лет назад я описывал рабочую схему для усиления безопасности в другом вопросе на тостере. Взгляните.

Comments

[Анатолий]

В Nginx попробовал изменить путь, для каждого сайта прописал (домен заменен на фейковый):

location ~ \.php$ {
        try_files $uri =444;
        fastcgi_pass backend7;
        fastcgi_index index.php;
        fastcgi_param SCRIPT_FILENAME  $document_root$fastcgi_script_name;
 
        fastcgi_param PHP_VALUE open_basedir="/var/www/mysite.ru/:/tmp/";
        fastcgi_param PHP_VALUE upload_tmp_dir="/var/www/mysite.ru/tmp/";
        fastcgi_param PHP_VALUE sys_temp_dir="/var/www/mysite.ru/tmp/";
        fastcgi_param PHP_VALUE session.save_path="/var/www/mysite.ru/sessions/";

        include fastcgi_params;
}

Но почему-то настройка применилась только для session.save_path, а для остальных осталась дефолтной. Проверял phpinfo(), сейчас - "no value", т.к. не прописана в php.ini.

Как изменить пул в php-fpm, добавив новых пользователей?
Сейчас /etc/php7/pool/pool.conf имеет вид:

; Имя пула
[php7]

; Пользователь и группа
user = nginx
group = nginx

; Прием FastCGI-запросов
listen = /var/run/php7-fpm.sock

; Пользователь и группа от чьего имени запущен сервер
listen.owner = nginx
listen.group = nginx

; Права на чтение и запись
listen.mode = 0660

В php-fpm.conf прописана строка:
include=/etc/php7/pool/*.conf

Будет ли достаточно создать новый файл /etc/php7/pool/vasya.conf
и прописать:

[vasya]
user = vasya
listen = /var/run/php7-fpm.vasya.sock

А потом для того, чтобы работать от этого юзера, достаточно прописать строку в конфиг домена, типа:
fastcgi_pass unix:/var/run/php7-fpm.vasya.sock;

так?

[Vamp]

В конфиге nginx нельзя устанавливать опции PHP с уровнем PHP_INI_SYSTEM, который как раз и имеют open_basedir (с оговорками), upload_tmp_dir и sys_temp_dir. Опция session.save_path имеет уровень PHP_INI_ALL, поэтому её можно установить откуда угодно. Хоть из php скриптов.

PHP_INI_SYSTEM можно установить только в php.ini или конфигурации пула:

php_value[open_basedir] = /var/www/mysite.ru/:/tmp/
php_value[upload_tmp_dir] = /var/www/mysite.ru/tmp/
php_value[sys_temp_dir] = /var/www/mysite.ru/tmp/
php_value[session.save_path] = /var/www/mysite.ru/sessions/

Конфигурации пулов могут быть в отдельных файлах в папке /etc/php7/pool или в одном - это дело вкуса. Проще разделять по разным.

Что до разделения по юзерам, то нужно создавать отдельные пользовательские группы для каждого сайта:

; Имя пула
[mysite]

; Пользователь и группа
user = www-data
group = mysite

; Прием FastCGI-запросов
listen = /var/run/mysite.sock

; Пользователь и группа, который будет владельцем unix сокета
listen.owner = nginx
listen.group = nginx

; Права на чтение и запись
listen.mode = 0660

; добавляем конфиг php
php_value[open_basedir] = /var/www/mysite.ru/:/tmp/
php_value[upload_tmp_dir] = /var/www/mysite.ru/tmp/
php_value[sys_temp_dir] = /var/www/mysite.ru/tmp/
php_value[session.save_path] = /var/www/mysite.ru/sessions/

; Имя пула
[vasya]

; Пользователь и группа
user = www-data
group = vasya

; Прием FastCGI-запросов
listen = /var/run/vasya.sock

; Пользователь и группа, который будет владельцем unix сокета
listen.owner = nginx
listen.group = nginx

; Права на чтение и запись
listen.mode = 0660

; добавляем конфиг php
php_value[open_basedir] = /var/www/vasya/:/tmp/
php_value[upload_tmp_dir] = /var/www/vasya/tmp/
php_value[sys_temp_dir] = /var/www/vasya/tmp/
php_value[session.save_path] = /var/www/vasya/sessions/

Соответственно, права и владелец папки /var/www/mysite.ru должны быть tolly:mysite и 750, а у /var/www/vasya - tolly:vasya и 750.

Не сильно важно от какого пользователя будут запускаться разные php-fpm пулы, главное чтобы не от nginx или tolly. Разграничение доступа при такой схеме строится только на группах.

Пользователь nginx должен состоять одновременно в группах mysite и vasya, чтобы иметь доступ к файлам всех сайтов, тогда как php-fpm пул будет иметь доступ только к своей папке, но не к папке соседа.

[Анатолий]

А в пуле можно прописывать несколько хостов? Типа:

[HOST=example.com]
open_basedir /var/www/example.com/:/tmp/
upload_tmp_dir /var/www/example.com/temp/
sys_temp_dir /var/www/example.com/temp/
session.save_path /var/www/example.com/sessions/

[HOST=mysite.com]
open_basedir /var/www/mysite.com/:/tmp/
upload_tmp_dir /var/www/mysite.com/temp/
sys_temp_dir /var/www/mysite.com/temp/
session.save_path /var/www/mysite.com/sessions/

или это делается, просто путем перечисления все возможных путей, типа:
php_value[open_basedir] = /var/www/example.com/:/tmp/:/var/www/mysite.com/ ?

Немного запутался в пользователях и группах, к примеру

; Имя пула
[mysite]

; Пользователь и группа
user = www-data
group = mysite

; Прием FastCGI-запросов
listen = /var/run/mysite.sock

; Пользователь и группа, который будет владельцем unix сокета
listen.owner = nginx
listen.group = nginx

; Права на чтение и запись
listen.mode = 0660

Вот что я понял:
1) [mysite] - это имя пула mysite по аналогии с доменом
2) user = www-data - это некто, не важно кто, но не nginx
3) group = mysite - группа созданная для домена
4) listen = /var/run/mysite.sock - имя сокета от имени домена
5) listen.owner = nginx и listen.group = nginx - запуск самого php-fpm
верно?

Имея 2 домена: example и mysite, задаем права:
chmod nginx:mysite -R 750 /var/www/mysite/
chmod nginx:example -R 750 /var/www/example/

тем самым пользователь www-data - или другой, но не nginx, который не имеет прав доступа к этой папке

Все правильно понял?

[Vamp]

Если разграничивать доступ группами, то без вариантов необходимо использовать отдельный пул для каждого сайта. Если же не хочется плодить пулы, то конфигурацию каждого хоста нужно вписывать в php.ini при помощи секций.

или это делается, просто путем перечисления все возможных путей, типа:
php_value[open_basedir] = /var/www/example.com/:/tmp/:/var/www/mysite.com/ ?

Такая настройка сводит на нет всю идею open_basedir, так как скрипты сайта example.com будут иметь доступ к папке mysite.com.

Имея 2 домена: example и mysite, задаем права:
chmod nginx:mysite -R 750 /var/www/mysite/
chmod nginx:example -R 750 /var/www/example/
тем самым пользователь www-data - или другой, но не nginx, который не имеет прав доступа к этой папке

Написали "... или другой, но не nginx, ...", но при этом "chmod nginx:mysite". Как же так?

[Анатолий]

1. Про параметр:

php_value[open_basedir] = /var/www/example.com/:/tmp/:/var/www/mysite.com/

я имел ввиду, что если нужно одному пользователю дать права на пару сайтов, то это можно сделать их перечислением, и понятно что пользователь получит доступ в обе папки. Ну окей, я понял, что рекомендуется это делать через php.ini

2. По фразе "тем самым пользователь www-data - или другой, но не nginx, который не имеет прав доступа к этой папке",
я имел ввиду, что запуск php-fpm идет от пользователя www-data, так как он не имеет никаких прав. Вместо него можно создать и прописать любого пользователя, кроме nginx. Например можно прописать пользователя tolly или vasya, но не nginx.

php-fpm же получает доступ только для чтения, так как входить в группу

к примеру для папки /var/www/mysite/ - владелец - пользователь nginx (полный доступ) и группа mysite (только чтение), а остальным все запрещено

Я верно думаю?

PS. Ну и думаю, что можно прописать 770 для например временных файлов, сессий, uploads и так далее?

[Vamp]

к примеру для папки /var/www/mysite/ - владелец - пользователь nginx (полный доступ) и группа mysite (только чтение), а остальным все запрещено

Ну нет же, не nginx. Зачем nginx'у полный доступ? При обнаружении уязвимости в nginx, такие права позволят взломать сайт. Сделайте себя владельцем всех папок и файлов сайта. Тогда вы сможете обновлять сайт без лишних проблем, а nginx и php нет, так как получают права группы, у которой права на запись есть только в специальные папки (сессии, tmp и т.п). Nginx получает доступ на чтение, так как состоит одновременно в группах mysite и example.

Разграничение доступа группами работает только при использовании нескольких php-fpm пулов. Насколько я понял, вы не собираетесь делать отдельный пул для каждого сайта, поэтому заморочки с пользователями и группами не нужны.

[Анатолий]

Вашу логику понял, для одного пользователя:
chmod root:nginx -R 750 /var/www/
find /var/www/ -type d -name tmp -o -name uploads -o -name sessions -exec chmod root:nginx -R 770 {} \;