LNMP下防跨站、跨目录安全设置初探，仅支持PHP 5.3.3以上版本

licess

如果是php 5.3.3以上的可以修改/usr/local/php/etc/php.ini在末尾里加入

1. [HOST=www.vpser.net]
   
2. open_basedir=/home/wwwroot/www.vpser.net/:/tmp/
   
3. [PATH=/home/wwwroot/www.vpser.net]
   
4. open_basedir=/home/wwwroot/www.vpser.net/:/tmp/

复制代码

每个域名一个，按上面的这个修改成你自己的域名和目录


最后重启/etc/init.d/php-fpm restart


这样设置即可防跨站或跨目录，如有问题可以直接回帖讨论。其实5.3.3以上还有其他更多的安全设置方法，欢迎交流。
php升级可参考：https://www.vpser.net/manage/lnmp-upgrade-php-script.html 或直接用lnmp0.9下载包里的upgrade_php.sh 进行升级。


升级有风险，且有些程序在PHP 5.3.*下可能会存在问题。

tearszhu

军哥辛苦了！顶了

id886

这个不错。。

一直没找着怎么给网站分配目录， 原来可这样单独分配。  暂时还没发现问题。

原来用  ./:/tmp/  时，发现有些小问题， 一直没找到解决方法。


还有想要探针显示信息，大家加上 :/proc/

id886

还有要防止直接IP访问，   不然用IP访问/home/wwwroot/ 一样跨。

PHP 5.2 的话，  也可用 ../:/tmp/  加 修改目录权限来简单防跨。

licess

对于默认虚拟主机可以修改一下目录，下个版本会修改一下默认目录

star826

下个版本军哥可以考虑下直接安装数据库就是mysql5.5以上。。貌似处理数据更快哈

ronald

原帖由 id886 于 2012-10-5 18:07 发表
还有要防止直接IP访问，   不然用IP访问/home/wwwroot/ 一样跨。

PHP 5.2 的话，  也可用 ../:/tmp/  加 修改目录权限来简单防跨。

新手请教：
怎么防止直接IP访问？
用 ../:/tmp/  加 修改目录权限来简单防跨的具体操作步骤是？

非常感谢~

ronald

希望军哥能多多发表对于LNMP安全设置一类的文章，谢谢！

piaoyun

希望下一个版本的mysql可以做了选择呢
比如选择的 5.1  5.5等。让用户自己选择安装那个版本的。
挑选几个比较稳定的来安装

imnpc

PHP 5.2.X是不是无法用这个防止跨目录？

id886

军哥 的这个 每个域名 都添加限制脚本，  很难实现自动批量完成。  

如：一次添加多个域名， 清除域名。   看来也只能手动一个一个添加。

id886

用这这个限制就会存在问题，  如PHP页打不开。 只能使用  ../:/tmp/  加 修改目录权限来简单防跨

id886

直接访问IP，修改 nginx.cnf 就成了。  搜索空主机头


这里有个问答贴：给网站目录授予权限后
https://bbs.vpser.net/thread-8621-1-3.html

54wz

独立服务器，6个站，8个域名，添加如上之后， 访问站点子目录提示 No input file specified.

[ 本帖最后由 54wz 于 2013-2-15 16:57 编辑 ]

id886

你的是  PHP5.2 吧？


在php.ini  中加  ../ 这类的应该可行。

不过，你的网站目录得做多层。   

希望军哥下个版本中能这么考虑多层目录 防跨站。

[ 本帖最后由 id886 于 2013-2-22 10:33 编辑 ]