近些日子，小蔣的一篇博文引起了廣大主機商的關注。

其原因是小蔣運營的創(chuàng)智主機被提交了漏洞到烏云網(wǎng)上：

在這篇文章中小蔣給出了解決方法，就是采用禁用函數(shù)的方法來保證服務器環(huán)境的安全。

但是，禁用函數(shù)真的是最好的選擇么？不是的！

AMH面板的開發(fā)者Amysql告訴我們，更好的選擇是Chroot!

AMH面板是一款LNMP面板，一方面，為了方便版本升級，另一方面，面板是開發(fā)者一個人開發(fā)的，所以AMH沒有像kangle,WDCP,LUM,webmin等采用二進制文件實現(xiàn)平臺的環(huán)境，而是使用基于AMP的PHP程序來控制平臺。這樣，就要考慮到PHP的安全問題了。由于PHP寫成的程序，所以需要大量的的使用exec,shell_exec兩個函數(shù)來實現(xiàn)面板和系統(tǒng)的信息交換處理。顯然，小蔣給出的限制函數(shù)的方法并不適合AMH這樣的面板。那么，Amysql如何解決PHP的運行安全問題呢？

Amysql采用了這樣的方法。對于AMH下的虛擬主機，一律開啟Chroot來保證安全，而控制臺PHP則關閉chroot來保證面板的正常運作。

說了這么多，那么什么是Chroot呢？

據(jù)維基百科的詞條解釋，Chroot本是Unix下的一個命令，但是，在PHP-FPM中，也是引入了這一功能。

維基詞條

chroot是在unix系統(tǒng)的一個操作，用于對當前的程序和它的子進程改變真實的磁盤根目錄。

Chroot的工作原理是什么呢？

由于LNMP環(huán)境下，PHP-FPM與Nginx的通信只能通過CGI實現(xiàn)，所以，如果你在FPM設置中對文件的根目錄進行修改，那么，你的PHP程序就無法跨越這個指定的根目錄。

而面板所在的虛擬主機，由于沒有開啟Chroot，所以使用的根目錄依然是系統(tǒng)的根目錄 /

具體解釋一下？

就拿我用的AMH面板的控制臺和普通虛擬主機來說明。

控制臺文件放在/home/Wwwroot/Index/Web文件夾下，

普通主機的文件放在/home/wwwroot/Domain/web文件夾下。

對于控制臺程序，由于沒有開啟Chroot，所以，這個PHP文件的實際位置和運行位置相同，都是/home/wwwroot/Index/web/，而其根目錄就是/；

對于普通虛擬主機，開啟Chroot,那么，雖然，運行的文件的位置是/home/wwwroot/domain/web/index.php，但是經過Chroot的導向，在PHP程序中，實際認為的文件地址是/web/index.php.

同時在/home/wwwroot/domain/為了使入侵者認為自己進入的是根系統(tǒng)，而仿照Unix的文件夾命名規(guī)則，創(chuàng)建了etc,usr,tmp,lib等文件夾，如同為PHP程序創(chuàng)建了一個沙盒.所以，使用Chroot的用戶不用害怕中國軍刀，因為他只能在沙盤內起作用，無法對主系統(tǒng)產生影響，從而造成經濟損失

沙盒（英語：sandbox），有時也稱為沙箱，是為一些來源不可信、具備破壞力或無法判定程序意圖的程序提供試驗的環(huán)境。然而，沙盒中的所有改動對操作系統(tǒng)不會造成任何損失。通常，這種技術被計算機技術人員廣泛使用，尤其是計算機殺毒軟件行業(yè)，沙盒是一個觀察計算機病毒的重要環(huán)境。

我們都知道，在類Unix系統(tǒng)中，所有程序，甚至設備，都是由文件表示，我們所使用的ls,wget命令，事實上都對應著一個特定的可執(zhí)行文件，而當我們使用Chroot后，由于/home/wwwwroot/domain/usr下沒有相應的文件，也就無法執(zhí)行相應的命令。從而保證系統(tǒng)信息的安全。

與禁用函數(shù)相比，Chroot有什么優(yōu)點呢？

禁用函數(shù)是針對整個PHP程序而言的，所有需要通過PHP程序進行解析的文件，都會受到禁用函數(shù)的設置。

網(wǎng)站程序不同，那么有可能需要的函數(shù)不同，不同的虛擬主機無法單獨設置。

而Chroot可以根據(jù)不同的虛擬主機,進行特異化設置。對于需要使用特殊函數(shù)的程序，可以關閉Chroot，來保證網(wǎng)站程序的正常運轉；程序不需要調用特殊的程序，就可以開啟Chroot模式；如果只是要啟用一個或兩個特定的程序，你可以仿照如下的過程添加函數(shù)。比如說，當我們開啟Chroot時，PHP程序是無法使用sendmail()函數(shù)來發(fā)信的，我們可以使用mini_sendmail替代sendmail來修復發(fā)信。

• cd /home/wwwroot/www.ixiqin.com/
• cp -P /bin/bash /bin/sh bin
• cp /etc/passwd /etc/group etc
• cd /tmp
• wget http://centos.googlecode.com/files/mini_sendmail-1.3.6.tar.gz
• tar xzf mini_sendmail-1.3.6.tar.gz
• cd mini_sendmail-1.3.6
• make
• cp mini_sendmail /home/wwwroot/www.ixiqin.com/usr/sbin/sendmail

以上代碼，在/tmp目錄下編譯mini_sendmail，然后將生成的可執(zhí)行文件復制到chroot后目錄下相應位置，以保證發(fā)件系統(tǒng)的正常運行。

非AMH用戶如何使用Chroot功能

如果你是AMH的用戶，那你就省心了，因為Amysql將這個功能集成到了模塊里，而且默認情況下每一個虛擬主機都是開啟了安全模式的，你只需要在后臺下載AMChroot模塊，管理即可。

如果你不是AMH用戶，也可以使用這個功能，只需要修改Nginx和PHP-FPM的配置文件即可。

由于要把domain站點限制在/home/wwwroot/domain，所以對于php-fpm，此網(wǎng)站根目錄已經變成是/web，所以我們需要更改Nginx傳遞給php-fpm的網(wǎng)站根目錄地址。

找到

• fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

更改為

• fastcgi_param SCRIPT_FILENAME /web$fastcgi_script_name;

同時，將php-fpm.conf文件中的Chroot改為

• chroot = /home/wwwroot/domain

有什么需要注意的呢？

Tips One:Chroot模式下，各種探針，如雅黑探針將會失效，報錯。

Tips Two:Chroot模式可用做在線shell模擬器，安全真實。

綜合以上分析，我建議，與其使用死板的禁用函數(shù)，我們?yōu)槭裁床辉囋嚫雍糜玫腃hroot呢？

注：相關網(wǎng)站建設技巧閱讀請移步到建站教程頻道。