如果nginx的work process和php-fpm的运行权限相同,会导致被上传webshell后 被修改accesslog
故安全配置:
nginx.conf:
user nobody nogroup
php-fpm.conf:
user:www-data
group:www-data
# 给nginx运行用户执行fpm.sock权限
listen-user nobody
listen-group nogroup
www目录:
#仅上传文件夹uploads 要与php-fpm运行用户相同,保证php对上传文件夹可选。其他文件权限可设为用户登录账户
chown www-data:www-data /html
nginx access.log
启动nginx时会自动生成该日志,权限为启动nginx的权限。但是syslog、logrotate 会自动修改access.log的配置,变更access.log权限。此处小心 (/etc/logrotate.d/nginx)