PHP-FPM в chroot окружении.

Одна из «фич» PHP-FPM — возможность запуска дочерних процессов в chroot окружении. В теории, это должно значительно увеличить безопасность системы засчет изоляции процесса исполняющего скрипт, т. е. если злоумышленник получит контроль над системой используя уязвимость PHP, то он выше той папки, в которой запущен процесс PHP-FPM, он не уйдет.

На практике, к сожалению, все далеко не столь радужно.

Связано это с тем, большинство веб-приложений (например, CMS Drupal 8) написаны с расчетом на доступ на чтение системных файлов и папок. Например, если в вашем скрипте или используемых им библиотеках как-либо используется генератор случайных чисел, то он работать не будет, т. к. ему нужен доступ к /dev/urandom

В процессе длительного хождения по граблям, я все же сумел запустить Drupal в PHP-FPM в chroot и NGINX, скажу сразу, оно не стоит затраченных усилий. Далее приведены конфиги для желающих повторить.

1. Сперва создадим песочницу. Это папка, в которой будет работать PHP-FPM.

В ней папка tmp будет использоваться для хранения сессий, logs для логов PHP-FPM (необязательно), папка htdocs — для файлов сайта. В etc, usr и dev будут примонтированы необходимые файлы и папки с самой машины.

mkdir -p /path/to/chrooted/folder/{tmp,etc,dev,usr/share/zoneinfo,logs,htdocs}
touch /path/to/chrooted/folder/dev/random /path/to/chrooted/folder/dev/urandom \
/path/to/chrooted/folder/etc/localtime /path/to/chrooted/folder/etc/hosts \
/path/to/chrooted/folder/etc/resolv.conf
mount -o bind,ro,noexec /dev/random /path/to/chrooted/folder/dev/random
mount -o bind,ro,noexec /dev/urandom /path/to/chrooted/folder/dev/urandom
mount -o bind,ro,noexec /etc/localtime /path/to/chrooted/folder/etc/localtime
mount -o bind,ro,noexec /etc/hosts /path/to/chrooted/folder/etc/resolv.conf
mount -o bind,ro,noexec /usr/share/zoneinfo /path/to/chrooted/folder/usr/share/zoneinfo
chown -R www-data:www-data /path/to/chrooted/folder/htdocs
chmod 1777 /path/to/chrooted/folder/tmp

2. Настроим пул PHP-FPM. Для Debian-based дистрибутивов создайте файл со следующим содержимым в /etc/php5/fpm/pool.d:

[myawesomesite.ru]
user = www-data
group = www-data

prefix = /path/to/chrooted/folder
chroot = $prefix
chdir = /htdocs

listen = php5-fpm.sock
listen.owner = www-data
listen.group = www-data
listen.mode = 0660

access.log = logs/$pool.access.log

pm = static
pm.max_children = 1

Обратите внимание на то, что процессы в данном пуле запускаются от имени пользователя, под которым работает nginx. Возможно, вам придется изменить права доступа на ряд файлов в песочнице.

3. Настроим nginx.

Конфиг виртуального сервера:

server {
        listen 11.22.33.44:80;
        server_name myawesomesite.ru;

        root /path/to/chrooted/folder/htdocs;

        location ~* (\.php(\?.(.)*)?|/)$ {
                fastcgi_index index.php;
                include /etc/nginx/conf.d/http_fastcgi.conf;
                fastcgi_pass unix:/path/to/chrooted/folder/php5-fpm.sock;
        }

        location / {
                index index.php;
                try_files $uri =404;
        }
}

/etc/nginx/conf.d/http_fastcgi.conf:

fastcgi_param  SCRIPT_FILENAME    /htdocs$fastcgi_script_name;
fastcgi_param  QUERY_STRING       $query_string;
fastcgi_param  REQUEST_METHOD     $request_method;
fastcgi_param  CONTENT_TYPE       $content_type;
fastcgi_param  CONTENT_LENGTH     $content_length;

fastcgi_param  SCRIPT_NAME        $fastcgi_script_name;
fastcgi_param  REQUEST_URI        $request_uri;
fastcgi_param  DOCUMENT_URI       $document_uri;
fastcgi_param  DOCUMENT_ROOT      /htdocs;
fastcgi_param  SERVER_PROTOCOL    $server_protocol;
fastcgi_param  HTTPS              $https if_not_empty;

fastcgi_param  GATEWAY_INTERFACE  CGI/1.1;
fastcgi_param  SERVER_SOFTWARE    nginx/$nginx_version;

fastcgi_param  REMOTE_ADDR        $remote_addr;
fastcgi_param  REMOTE_PORT        $remote_port;
fastcgi_param  SERVER_ADDR        $server_addr;
fastcgi_param  SERVER_PORT        $server_port;
fastcgi_param  SERVER_NAME        $server_name;

4. Проверяем конфиги и запускаем:

php5-fpm -t
nginx -t
service nginx start
service php-fpm start

И пытаемся открыть сайт в браузере.

Добавить комментарий