CentOS下php-fpm使用chroot模式运行

由于PHP本身或者代码的问题，可能导致网站被入侵，在黑客入侵网站后，他关注不只是你的网站本身，还有网站所在的服务器。

为了防止系统因为PHP方面漏洞而被入侵，通过chroot方式来运行php进程是一个比较不错的方法，下面介绍下如果配置。

创建/etc/php-fpm.d/chroot.conf，内容如下：

[chroot]listen = 127.0.0.1:9001user = apachegroup = apachepm = dynamicpm.max_children = 20pm.start_servers = 5pm.min_spare_servers = 5pm.max_spare_servers = 10pm.max_requests = 100request_terminate_timeout = 120request_slowlog_timeout = 2slowlog = /var/log/php-fpm/chroot-slow.logchroot = /wwwphp_admin_value[error_log] = /var/log/php-fpm/chroot-error.logphp_admin_flag[log_errors] = onphp_value[session.save_path]    = /var/lib/php/session

以上是参考配置，进程启动的一些参数可以根据实际需要灵活配置。

然后执行以下脚本，创建chroot环境所需的目录和文件。

#!/bin/bashmkdir /wwwmkdir /www/etccp -a /etc/hosts /www/etc/cp -a /etc/resolv.conf /www/etc/mkdir /www/tmpchmod 777 /www/tmpchmod o+t /www/tmpmkdir /www/lib64cp -a /lib64/libnss_dns* /www/lib64/mkdir -p /www/usr/lib64cp -a /usr/lib64/libsoftokn3.so /www/usr/lib64/mkdir -p /www/usr/share/zoneinfo/Asia/cp -a /usr/share/zoneinfo/Asia/Shanghai /www/usr/share/zoneinfo/Asia/mkdir -p /www/var/lib/php/session/chown apache.apache /www/var/lib/php/session/mkdir -p /www/var/log/php-fpm/chown apache.root /www/var/log/php-fpm/chmod 770 /www/var/log/php-fpm/

最后修改php.ini，将默认时区设置为Asia/Shanghai