Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

Strony: 1

 

#1  2020-04-23 15:24:48

  life - Użytkownik

life
Użytkownik
Zarejestrowany: 2009-10-30

php-fpm + apparmor oraz różne profile

Witam mam webserver z Nginx + PHP (fpm) każdy user ma swój proces i zamknięty jest w chroot.
Mam też "globalny" profil apparmora-a dla php-fpm no i tu moja pytanie czy jest jakaś opcja żeby zrobić podprofile dla użytkowników (procesów php-fpm).

PHP w wersji 7.3 (standardowe z dystrybucji buster). Widziałem że kiedyś była taka opcja jak apparmor_hat dla php-fpm gdzie można było przypisać unikalną nazwę i potem użyć jej w podprofilu apparmora ale chyba to już nie działa.

Teoretycznie mając chroot-a poszczególne procesy użytkowników nie widzą siebie i swoich zasobów jak i reszty systemu. Ale miło było by jeszcze nałożyć na na każdego z nich dodatkowo apparmor-a z ograniczeniem do tylko swoich katalogów.

pozdrawiam

Offline

 

#2  2020-04-23 17:26:46

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: php-fpm + apparmor oraz różne profile

Wystarczy jeden profil dla PHP-FPM, do tego sensowny umask na nowe pliki.
W Apparmorze masz taką magiczną funkcję owner, która może ograniczać dostęp do plików i socketów unix.

Do tego możesz łatwo przez np daemontools, odpalić kilkadziesiąt rożnych procesów PHP, gdzie każdy proces będzie miał innego usera systemowego, inny plik konfiguracyjny, inne grupy cgroup i inny socket.
I dodatkowo nigdy się trwale nie wyłączy, bo mu skrypt supervise na to nie pozwoli.

Przykładowo:
procesy:

Kod:

root      7214  0.0  0.0   1020     4 ?        S    kwi21   0:00 supervise php74
php       7238  0.0  0.2 1670968 35656 ?       Ss   kwi21   0:06 php-fpm: master process (/etc/php/fpm-php7.4/php-fpm.conf)

# root ~> cat /service/php74/run

Kod:

#!/bin/sh

exec 2>&1
export  TZ='Europe/Warsaw'

test -d /var/run/php || mkdir -p /var/run/php;
chown    php:php /var/run/php;
chmod 1777 /var/run/php;
mkdir -p /tmp/php/{roudcube,presta,magento,wordpress}
chown  php:php  /tmp/php/{roudcube,presta,magento,wordpress}
chmod 700  /tmp/php/{roudcube,presta,magento,wordpress}
mkdir -p /tmp/php/{sessions,upload,opcache,soap}
chown  php:php  /tmp/php/{sessions,upload,opcache,soap}
chmod 700  /tmp/php/{sessions,upload,opcache,soap}

/usr/bin/cgclassify -g memory,cpu,blkio,pids:serwer/phpfpm $$;
exec /usr/bin/setuidgid php /usr/bin/php-fpm7.4  -F -y /etc/php/fpm-php7.4/php-fpm.conf

Pozdro

W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

 

Strony: 1

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)