在Ubuntu上配置LNMP(Linux, Nginx, MySQL/MariaDB, PHP)时,权限管理是一个重要的环节,以确保系统的安全性和稳定性。以下是一些基本的权限管理方法:
创建专用用户:为Nginx、MySQL/MariaDB和PHP-FPM创建专用的系统用户。
sudo adduser nginx sudo adduser mysql sudo adduser www-data # PHP-FPM默认用户 设置正确的权限:确保这些用户只能访问他们需要的文件和目录。
sudo chown -R nginx:nginx /var/www/html sudo chown -R mysql:mysql /var/lib/mysql sudo chown -R www-data:www-data /run/php/php7.x-fpm.sock # 根据PHP版本调整 配置文件权限:确保Nginx配置文件的权限设置正确。
sudo chmod 644 /etc/nginx/nginx.conf sudo chmod 644 /etc/nginx/sites-available/* 静态文件权限:确保静态文件的权限允许Nginx读取。
sudo find /var/www/html -type f -exec chmod 644 {} \; sudo find /var/www/html -type d -exec chmod 755 {} \; 创建数据库和用户:使用mysql命令行工具或phpMyAdmin创建数据库和用户,并分配适当的权限。
CREATE DATABASE mydatabase; CREATE USER 'myuser'@'localhost' IDENTIFIED BY 'mypassword'; GRANT ALL PRIVILEGES ON mydatabase.* TO 'myuser'@'localhost'; FLUSH PRIVILEGES; 限制远程访问:如果不需要远程访问,确保MySQL/MariaDB只允许本地连接。
UPDATE mysql.user SET Host='localhost' WHERE User='myuser'; FLUSH PRIVILEGES; 配置文件权限:确保PHP-FPM配置文件的权限设置正确。
sudo chmod 644 /etc/php/7.x/fpm/pool.d/www.conf 日志文件权限:确保PHP-FPM日志文件的权限允许PHP-FPM进程写入。
sudo chown www-data:www-data /var/log/php7.x-fpm.log SELinux:如果系统启用了SELinux,确保相关的策略配置正确。
sudo setenforce 0 # 临时禁用SELinux进行测试 sudo ausearch -c 'nginx' --raw | audit2allow -M my-nginx sudo semodule -i my-nginx.pp AppArmor:如果系统启用了AppArmor,确保相关的配置文件正确。
sudo aa-enforce /etc/apparmor.d/usr.sbin.nginx 定期审计:定期检查文件和目录的权限,确保没有不必要的权限开放。
sudo find / -type d -perm 777 -exec chmod 755 {} \; sudo find / -type f -perm 666 -exec chmod 644 {} \; 更新系统和软件:定期更新系统和软件,以修补安全漏洞。
sudo apt update && sudo apt upgrade 通过以上步骤,可以有效地管理LNMP环境中的权限,确保系统的安全性和稳定性。
