使用 Nginx + PHP-FPM 拒绝访问 PHP 文件 (403)

【问题标题】:Access denied (403) for PHP files with Nginx + PHP-FPM使用 Nginx + PHP-FPM 拒绝访问 PHP 文件 (403)
【发布时间】:2014-06-16 22:01:56
【问题描述】:

我在这个问题上花费了几个小时,尽管与它相关的帖子数量很多,但我无法解决它。我有一个带有 Nginx + PHP-FPM 的 Fedora 20 盒子,直到今天它都运行良好(我猜是在我重新加载 php-fpm.service 之后)。 Nginx 提供静态文件没有问题,但是任何 PHP 文件都会触发 403 错误。

权限ok,nginx和php-fpm都在用户“nginx”下运行:

root     13763  0.0  0.6 490428 24924 ?        Ss   15:47   0:00 php-fpm: master process (/etc/php-fpm.conf)
nginx    13764  0.0  0.1 490428  7296 ?        S    15:47   0:00 php-fpm: pool www
nginx    13765  0.0  0.1 490428  7296 ?        S    15:47   0:00 php-fpm: pool www
nginx    13766  0.0  0.1 490428  7296 ?        S    15:47   0:00 php-fpm: pool www
nginx    13767  0.0  0.1 490428  7296 ?        S    15:47   0:00 php-fpm: pool www
nginx    13768  0.0  0.1 490428  6848 ?        S    15:47   0:00 php-fpm: pool www

提供的文件也已设置为 nginx 用户,我什至结束了 chmoding 777 尝试这些文件,但对于任何 PHP 文件仍然“拒绝访问”。

下面是我的 Nginx 配置的服务器:

server {
        listen          80;
        server_name     localhost;

        root            /var/www/html;

         location ~ \.php$ {
            fastcgi_intercept_errors on;
            try_files $uri =404;
            fastcgi_pass   127.0.0.1:9000;
            fastcgi_index  index.php;
            fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
            include        fastcgi_params;
        }
}

PHP-FPM 池:

[www]
...
listen = 127.0.0.1:9000
user = nginx
group = nginx
...

对于版本:

php-5.5.11(当然还有 php-fpm-5.5.11

nginx-1.4.7

我正在添加 Nginx 错误日志:

 FastCGI sent in stderr: "Access to the script '/var/www/html' has been denied (see security.limit_extensions)" while reading response header from upstream, client: xxx.xxx.xxx.xxx, server: localhost, request: "GET /index.php HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.xxx.xxx.xxx"

准确地说security.limit_extensions 是正确的,设置为:security.limit_extensions = .php

关于路径权限,/var/www/html可以遍历。 我错过了什么?

【问题讨论】:

  • 我知道这听起来很奇怪,但是您是否仔细检查过您是否编辑了有关limit_extensions 的正确php.ini 文件?前几天我犯了这个错误..
  • limit_extensions 仅存在于 FPM 池中,对我而言,/etc/php-fpm.d/www.conf 中的 Fedora 20.. 但谢谢约翰
  • 您是否尝试过将fastcgi_pass 设置为套接字地址而不是服务器地址(例如 unix:/var/run/php-fpm/php-fpm.sock;)?
  • 是的,我也试过了,但结果是一样的。我对这个问题的想法已经用完了..
  • 嗯..你能把fastcgi_param SCRIPT_FILENAME设置为$fastcgi_script_name,重新加载fpm然后再试一次吗?没有$document_root...

标签: nginx permissions fedora php http-status-code-403


【解决方案1】:

以下是一些可能的解决方案:

  1. 在您的 php-fpm www.conf 中将 security.limit_extensions 设置为 .php.php5 或适合您环境的任何内容。对于某些用户,完全删除所有值或将其设置为 FALSE 是使其正常工作的唯一方法。

  2. 在您的 nginx 配置文件中,将 fastcgi_pass 设置为您的套接字地址(例如 unix:/var/run/php-fpm/php-fpm.sock;),而不是您的服务器地址和端口。

  3. 检查您的SCRIPT_FILENAME fastcgi 参数并根据文件的位置进行设置。

  4. 在您的 nginx 配置文件中,在定义所有其他 fastcgi 参数的位置块中包含 fastcgi_split_path_info ^(.+\.php)(/.+)$;

  5. 在您的 php.ini 中将 cgi.fix_pathinfo 设置为 1

【讨论】:

  • 您确定将 fix_pathinfo 设置为 1 是否安全?检查serverfault.com/questions/627903/…
  • 如果实现#1 和#4,那么实现#5 是完全安全的。实际上... #1 和 #5 在 PHP 5.5 中分别默认为 .php1
  • 我试图让 .html 文件作为 .php 文件运行,所以上面的 #1 使用“sudo systemctl restart php7.0-fpm”为我做了。干杯。
  • 伙计们,这不安全。在 NGINX 官方网站上,它说它打开了一个允许上传内容的安全漏洞。
  • 当我将 cgi.fix_pathinfo 更改为 1 时,网站运行良好。
【解决方案2】:

请注意,上述解决方案(将cgi.fix_pathinfo 设置为1)是一个糟糕的想法。请参阅https://nealpoole.com/blog/2011/04/setting-up-php-fastcgi-and-nginx-dont-trust-the-tutorials-check-your-configuration/ 以获得良好的概述。

问题可能在于您的应用程序依赖于 PATH_INFO。为 php 启用访问日志以获取有关如何调用您的应用程序的更多信息,以帮助您调试此问题。

再次确认一下 - 被接受的解决方案是一个糟糕的想法,很可能会让您的网站被黑。

【讨论】:

【解决方案3】:

修改php.ini后别忘了重启php5-fpm服务!!

服务 php5-fpm 重启 要么 服务 php5-fpm 重新加载

fpm 预启动 php5,因此重启 nginx 以应用更改是不够的。

【讨论】:

    【解决方案4】:

    可能与selinux有关。如果您使用Virtual Box共享文件夹,则在Linux中无法更改此文件夹的访问权限。所以关闭selinux后即可解决。

    【讨论】:

      【解决方案5】:

      供以后参考: 在您网站的 conf 中尝试添加: fastcgi_param PATH_INFO $fastcgi_path_info; 还要看看 SELinux 在做什么。关闭它: setenforce 0 但是然后弄清楚什么脚本是问题并放回 setenforce 1

      【讨论】:

        【解决方案6】:

        如果您的虚拟主机文档根目录中没有index.php,也可能发生这种情况。

        仔细检查您的 nginx 配置中的 www_root 参数。然后仔细检查您要访问的 php 文件是否确实在其中。

        在我的例子中,我输入了错误的虚拟主机文档根路径,因此将其指向一个空目录,产生 403。

        【讨论】:

          【解决方案7】:

          我遇到了同样的问题,在尝试了上面的所有建议后仍然没有用。然后我检查了我的文件。显然我不是服务器专家。

          原来我有一个文件夹 /sites-available 和 /sites-enabled。 我已经更新了 sites-available 文件夹中的默认文件,但没有更新 /sites-enabled 文件夹中的默认文件。完成之后(并重新启动 nginx),一切都开始工作了。

          花了我一些时间来解决这个问题,我希望这可以帮助其他人尽快解决它。

          【讨论】:

            猜你喜欢
            • 2015-01-13
            • 2012-11-19
            • 2015-08-23
            • 2016-03-26
            • 1970-01-01
            • 2016-09-08
            • 2019-04-07
            • 1970-01-01
            • 1970-01-01
            相关资源
            最近更新 更多
            热门标签
            Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode