php-fpm chroot功能的使用

nginx+php-fpm是现在配置php环境非常流行的组合之一。nginx以其并发能力强，轻巧，速度快而受到非常多人的青睐，php-fpm以其安全，处理php速度快而成为与nginx的最佳组合。php-fpm提供有一个非常重要的功能chroot，它可以把指定的网站完完全全限制在一个目录下，可以对系统和其它虚拟机起到很好的隔离效果，这对系统的安全无疑是加强了不少，下面介绍如何配置。

我们假设域名为www.centos.bz,网站根目录为/home/chroot/www.centos.bz/web，需要把此网站限制在/home/chroot/www.centos.bz。

1、php-fpm.conf配置
打开php-fpm.conf文件，把chroot更改为

chroot = /home/chroot/www.centos.bz

2、nginx配置
我们上面把www.centos.bz站点限制在了/home/chroot/www.centos.bz，所以对于php-fpm，此网站根目录已经变成是/web，所以我们需要更改nginx传递给php-fpm的网站根目录地址。
找到

fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

更改为

fastcgi_param SCRIPT_FILENAME /web$fastcgi_script_name;

3、一些目录创建

cd /home/chroot/www.centos.bz/
mkdir -p tmp etc bin usr/sbin lib dev/
mknod -m 0666 dev/null c 1 3
mknod -m 0666 dev/random c 1 8
mknod -m 0666 dev/urandom c 1 9
mknod -m 0666 dev/zero c 1 5
chmod 1777 tmp

4、修复解析
把www.centos.bz的php完全限制在一个目录下后，导致了php无法解析域名，以32位系统为例(64位库文件位置为lib64)下面是修复的步骤,

cd /home/chroot/www.centos.bz/
cp /etc/hosts /etc/resolv.conf /etc/nsswitch.conf etc/
cp /lib/{ld-linux.so.2,libc.so.6,libdl.so.2,libnss_dns.so.2,libnss_files.so.2,libresolv.so.2,libtermcap.so.2}  lib/

这样php就可以解析域名了。

5、修复sendmail功能
同样chroot目录后，就无法发送邮件了，我们这里使用mini_sendmail代为发送邮件。同样以32位系统为例。

cd /home/chroot/www.centos.bz/
cp -P /bin/bash /bin/sh bin
cp /etc/passwd /etc/group etc
cd /tmp
wget http://www.acme.com/software/mini_sendmail/mini_sendmail-1.3.6.tar.gz tar xzf mini_sendmail-1.3.6.tar.gz
cd mini_sendmail-1.3.6
make
cp mini_sendmail /home/chroot/www.centos.bz/usr/sbin/sendmail

原文出自：http://www.centos.bz/2012/05/php-fpm-chroot/