Назад | Перейти на главную страницу

Могут / должны ли PHP-FPM и Apache запускаться под одним и тем же пользователем / uid и / или группой / gid?

Я решил переустановить свою коробку PHP и Apache сегодня дать FPM на ходу, никогда не использовал его раньше и хотел провести несколько тестов производительности, так как я слышал, что он намного быстрее. Сразу после компиляции и установки PHP с участием FPM поддержка, конечно, первым делом нужно было посмотреть на конфигурацию, и я обнаружил, что она по умолчанию настроена на работу под никто / никто. Проблема в том, что у меня настроено довольно много виртуальных серверов, и доступ к их файлам ограничен Apache / Apache пользователь и группа. Вот несколько вопросов, которые приходят мне в голову:

  1. Почему PHP-FPM запускается по умолчанию под никто / никто ?
  2. Могу я это изменить?
  3. Я должен это изменить?
  4. Считается ли запуск PHP-FPM и Apache под тем же пользователем / группой? Если да, то почему?
  5. Какие еще риски / соображения я должен учитывать при работе под другим пользователем и под тем же пользователем, что и Apache?

Примечание: я использую PHP 5.6.16 и Apache 2.4.16 если это имеет значение.

По соображениям безопасности вы должны запускать каждый пул PHP-FPM с собственным UID. В случае возникновения проблемы с безопасностью на одном из ваших php-сайтов, он не будет распространяться на содержимое других веб-сайтов.

Вы должны предоставить apache только право на обслуживание статического контента (только для чтения)