多用户、虚拟主机和FCGI PHP的Nginx安全模式

Question

我想按照以下方式配置nginx：

1. 服务器上有几个注册用户。
2. 每个用户都可能拥有两种不同类型的虚拟主机(他们无法配置它们)：nodejs代理或PHP。
3. 一个用户不应该能够获得敏感信息(mysql数据库设置等)来自另一个用户的目录。

例如：

users: joe, tom
virtual hosts:
    joe
        www - /srv/www/main/public_html, Wordpress
        app -> node.js on port 8081
    tom
        www - /srv/www/tom/public_html, custom, very important scripts

joe不应该能够从tom的目录中读取文件。nginx应该同时提供两个目录中的文件。

使用apache，可以通过安装apache2-mpm-itk并为每个虚拟主机指定用户/组。

用nginx看起来是不可能的。我看到以下可能的解决办法：

1. 为每个虚拟主机创建具有不同用户/组的FCGI处理程序，这样PHP上下文就会不同，并为每个PHP文件设置不同的权限。如:目录: /srv/www/tom/public_html script.js - www-data:www-data script.php - tom:tom
2. 或者为每个用户使用不同的nginx实例，并使用一个主要实例来代理对它们的请求。

还有什么更好的？

Answer 1

以用户身份运行用户的FCGI/node/任何处理程序(我在守护进程工具之外运行我的所有东西，它绝对适合这类事情)，然后告诉nginx代理它们。拥有用户拥有的所有内容，他们可以设置任何他们喜欢的权限，以防止不良参与者获取他们的内容。