Могут / должны ли PHP-FPM и Apache запускаться под одним и тем же пользователем / uid и / или группой / gid?
Я решил переустановить свой бокс » s PHP и Apache сегодня, чтобы попробовать FPM , никогда не использовал его раньше и хотел провести несколько тестов производительности, поскольку я слышал, что он намного быстрее . Сразу после компиляции и установки PHP с поддержкой FPM , конечно, первым делом нужно было посмотреть конфигурацию, и я обнаружил, что она по умолчанию настроена для работы под никто / никто . Проблема в том, что у меня настроено довольно много виртуальных серверов, и доступ к их файлам ограничен пользователем и группой apache / apache . Вот несколько вопросов, которые приходят мне в голову:
- Почему PHP-FPM по умолчанию запускается под nobody / nobody ?
- Могу ли я это изменить?
- Следует ли это изменить?
- Считается ли угрозой безопасности запуск PHP-FPM и Apache под одним и тем же пользователем / группой? Если да, то почему?
- Какие еще риски / соображения я должен учитывать при работе под другим пользователем и под тем же пользователем, что и Apache ?
Примечание: я использую PHP 5.6 .16 и Apache 2.4.16 , если это имеет значение.
По соображениям безопасности вы должны запускать каждый пул PHP-FPM с его собственным UID. В случае возникновения проблемы с безопасностью на одном из ваших php-сайтов, он не будет распространяться на содержимое других веб-сайтов.
Вы должны предоставить apache только право на обслуживание статического контента (только для чтения)