设为首页 收藏本站
查看: 1008|回复: 0

[经验分享] 让 Nginx 支持 cgi

[复制链接]

尚未签到

发表于 2016-12-24 08:49:59 | 显示全部楼层 |阅读模式
        nginx 天生是不支持 cgi 的,所以 nginx 也就没有了 cgi 方面的漏洞,提高了安全性。即 nginx 不能直接执行外部可执行程序。nginx 虽然不支持 cgi,但它支持 fastCGI。所以,我们可以考虑安装 perl fcgi 来支持 cgi。
    ● 安装 perl fcgi

[iyunv@localhost ~]# cd /usr/local/
[iyunv@localhost /usr/local]# wget http://www.cpan.org/modules/by-module/FCGI/FCGI-0.67.tar.gz
[iyunv@localhost /usr/local]# tar -xzxf FCGI-0.67.tar.gz
[iyunv@localhost /usr/local]# cd FCGI-0.67
[iyunv@localhost /usr/local/FCGI-0.67]# cd FCGI-0.67
[iyunv@localhost /usr/local/FCGI-0.67]# perl Makefile.PL
[iyunv@localhost /usr/local/FCGI-0.67]# make && make install


    ● 安装 FCGI-ProcManager

[iyunv@localhost ~]# cd /usr/local/
[iyunv@localhost /usr/local]# wget http://search.cpan.org/CPAN/authors/id/B/BO/BOBTFISH/FCGI-ProcManager-0.24.tar.gz
[iyunv@localhost /usr/local]# tar -xzxf FCGI-ProcManager-0.24.tar.gz
[iyunv@localhost /usr/local]# cd FCGI-ProcManager-0.24
[iyunv@localhost /usr/local/FCGI-ProcManager-0.24]# cd FCGI-0.67
[iyunv@localhost /usr/local/FCGI-ProcManager-0.24]# perl Makefile.PL
[iyunv@localhost /usr/local/FCGI-ProcManager-0.24]# make && make install

        准备工作做完了,下面就可以开始让 nginx 支持 cgi 之旅了。
        1. 用 perl 写一个 daemon 程序来处理 cgi 文件
        下面这段用 perl 写的 daemon 程序,我们命名为 cgiwrap-fcgi.pl,放入 /usr/local/bin 下。注意,这段 perl 代码的第 36 和 37 行,这两行都表示监听来自 perl CGI 的请求。其中:
        127.0.0.1:8999 表示使用 TCP/IP 协议响应请求
        /var/run/nginx/cgiwrap-dispatch.sock 表示使用 unix socket 响应 CGI 请求
        我们的示例中,将采用 unix socket 的方式来响应 CGI 请求。

#!/usr/bin/perl -w
use FCGI;
use Socket;
use FCGI::ProcManager;
sub shutdown { FCGI::CloseSocket($socket); exit; }
sub restart  { FCGI::CloseSocket($socket); &main; }
use sigtrap 'handler', \&shutdown, 'normal-signals';
use sigtrap 'handler', \&restart,  'HUP';
require 'syscall.ph';
use POSIX qw(setsid);
#&daemonize; we don't daemonize when running under runsv
#this keeps the program alive or something after exec'ing perl scripts
END()   { }
BEGIN() { }
{
no warnings;
*CORE::GLOBAL::exit = sub { die "fakeexit\nrc=" . shift() . "\n"; };
};
q{exit};
if ($@) {
exit unless $@ =~ /^fakeexit/;
}
&main;
sub daemonize() {
chdir '/' or die "Can't chdir to /: $!";
defined( my $pid = fork ) or die "Can't fork: $!";
exit if $pid;
setsid() or die "Can't start a new session: $!";
umask 0;
}
sub main {
#$socket = FCGI::OpenSocket( "127.0.0.1:8999", 10 ); #use IP sockets
#$socket = FCGI::OpenSocket( "/var/run/nginx/cgiwrap-dispatch.sock", 10 ); #use UNIX sockets - user running this script must have w access to the 'nginx'
folder!!
#foreach $item (keys %ENV) { delete $ENV{$item}; }
$proc_manager = FCGI::ProcManager->new( {n_processes => 5} );
$socket = FCGI::OpenSocket( "/var/run/nginx/cgiwrap-dispatch.sock", 10 ); #use UNIX sockets - user running this script must have w access to the 'nginx'
folder!!
$request =
FCGI::Request( \*STDIN, \*STDOUT, \*STDERR, \%req_params, $socket,
&FCGI::FAIL_ACCEPT_ON_INTR );
$proc_manager->pm_manage();
if ($request) { request_loop() }
FCGI::CloseSocket($socket);
}
sub request_loop {
while ( $request->Accept() >= 0 ) {
$proc_manager->pm_pre_dispatch();
"cgiwrap-fcgi.pl" [dos] 164L, 6275C
print STDERR $errbytes;
}
if ($!) {
$err = $!;
die $!;
vec( $rin, fileno(PARENT_ERR), 1 ) = 0
unless ( $err == EINTR or $err == EAGAIN );
}
}
if ($r2) {
while ( $bytes = read( CHILD_O, $s, 4096 ) ) {
print $s;
}
if ( !defined($bytes) ) {
$err = $!;
die $!;
vec( $rin, fileno(CHILD_O), 1 ) = 0
unless ( $err == EINTR or $err == EAGAIN );
}
}
last if ( $e1 || $e2 );
}
close CHILD_RD;
close PARENT_ERR;
waitpid( $pid, 0 );
} else {
foreach $key ( keys %req_params ) {
$ENV{$key} = $req_params{$key};
}
# cd to the script's local directory
if ( $req_params{SCRIPT_FILENAME} =~ /^(.*)\/[^\/]+$/ ) {
chdir $1;
}
close(PARENT_WR);
#close(PARENT_ERR);
close(STDIN);
close(STDERR);
#fcntl(CHILD_RD, F_DUPFD, 0);
syscall( &SYS_dup2, fileno(CHILD_RD),  0 );
syscall( &SYS_dup2, fileno(CHILD_ERR), 2 );
#open(STDIN, "<&CHILD_RD");
exec( $req_params{SCRIPT_FILENAME} );
die("exec failed");
}
} else {
print("Content-type: text/plain\r\n\r\n");
print "Error: No such CGI app - $req_params{SCRIPT_FILENAME} may not exist or is not executable by this process.\n";
}
}
}


    2. 有关 /var/run/nginx/cgiwrap-dispatch.sock
        cgiwrap-dispatch.sock 文件是用来响应 CGI 请求的。实际上,文件名是随意的,甚至都可以不在 /var/run/ngin 下。即用来处理 CGI 请求的文件是完全随意的。当然,我们还是以 /var/run/nginx/cgiwrap-dispatch.sock[ 为例来讲解。
        在我们的机器中,并不存在 /var/run/nginx 这样的目录,我们可以通过 mkdir 命令来建立这样层次结构的目录。至于 /cgiwrap-dispatch.sock 这个文件,通过 touch /cgiwrap-dispatch.sock 创建一个空的文件即可。
        请确保在 nginx.cong 中声明的 user 的用户和组具备以下权限:
                对 /var/run/nginx 具有 W 权限
                对 cgiwrap-dispatch.sock 具有 W 权限
    3. 在后台运行 cgiwrap-fcgi.pl

# 这种方式运行 cgiwrap-fcgi.pl 会输出日志
[iyunv@localhost ~]# /usr/local/bin/cgiwrap-fcgi.pl
Useless use of a constant in void context at ./cgiwrap-fcgi.pl line 20.
FastCGI: manager (pid 2452): initialized
FastCGI: server (pid 2453): initialized
FastCGI: manager (pid 2452): server (pid 2453) started
FastCGI: manager (pid 2452): server (pid 2454) started
FastCGI: server (pid 2454): initialized
FastCGI: server (pid 2455): initialized
FastCGI: manager (pid 2452): server (pid 2455) started
FastCGI: server (pid 2456): initialized
FastCGI: manager (pid 2452): server (pid 2456) started
FastCGI: server (pid 2457): initialized
FastCGI: manager (pid 2452): server (pid 2457) started
FastCGI: manager (pid 2452): server (pid 2453) exited with status 2304
FastCGI: server (pid 5456): initialized
FastCGI: manager (pid 2452): server (pid 5456) started
FastCGI: manager (pid 2452): server (pid 2454) exited with status 2304
FastCGI: manager (pid 2452): server (pid 9471) started
FastCGI: server (pid 9471): initialized

        这种方式运行 cgiwrap-fcgi.pl,会在控制台输出日志,这样我们确认该脚本已正常运行着的。后续若不想输出日志,可以这样来运行 cgiwrap-fcgi.pl:

# 这种方式运行 cgiwrap-fcgi.pl 不会输出日志
[iyunv@localhost ~]# /usr/local/bin/cgiwrap-fcgi.pl > /dev/null 2>&1 &
# 这种方式运行 cgiwrap-fcgi.pl 能够使得该脚本随系统启动而启动
# 编辑 /etc/rc.local 文件,最后一行添加:
/usr/local/bin/cgiwrap-fcgi.pl > /dev/null 2>&1 &


    4. 在 web 的根目录建立 test.cgi 来测试
        设 web 的跟目录为 /home/git,建立 test.cgi 文件,确保在 nginx.cong 中声明的 user 的用户和组具备对 test.cgi 的可执行权限。

[iyunv@localhost ~]# vi /home/git/test.cgi
#!/usr/bin/perl
print "Content-type: text/html\n\n";
print "Hello, world.";


    5. 在 nginx.conf 中做如下配置

location ~ .*\.cgi$ {
fastcgi_pass   unix:/var/run/nginx/cgiwrap-dispatch.sock;
fastcgi_index  index.cgi;
fastcgi_param  SCRIPT_FILENAME    $document_root$fastcgi_script_name;
fastcgi_param  SCRIPT_NAME        $fastcgi_script_name;
fastcgi_param  GATEWAY_INTERFACE  CGI/1.1;
fastcgi_param  SERVER_SOFTWARE    nginx;
fastcgi_param  QUERY_STRING       $query_string;
fastcgi_param  REQUEST_METHOD     $request_method;
fastcgi_param  CONTENT_TYPE       $content_type;
fastcgi_param  CONTENT_LENGTH     $content_length;
fastcgi_param  REQUEST_URI        $request_uri;
fastcgi_param  DOCUMENT_URI       $document_uri;
fastcgi_param  DOCUMENT_ROOT      $document_root;
fastcgi_param  SERVER_PROTOCOL    $server_protocol;
fastcgi_param  REMOTE_ADDR        $remote_addr;
fastcgi_param  REMOTE_PORT        $remote_port;
fastcgi_param  SERVER_ADDR        $server_addr;
fastcgi_param  SERVER_PORT        $server_port;
fastcgi_param  SERVER_NAME        $server_name;
}

        你若觉得这段配置太长了,你可以将 fastcgi_param 这段配置独立成一个文件,如 fastcgi_params.conf,然后通过 include 指令将其包含进来。
        到此为止,已经做到让 nginx 支持 cgi 了。你可以通过访问 http://localhost/test.cgi 来测试你的配置是否成功。

运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.iyunv.com/thread-318631-1-1.html 上篇帖子: nginx.conf配置详细说明 下篇帖子: nginx location匹配规则
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服E-mail:kefu@iyunv.com 客服QQ:1061981298


QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud

快速回复 返回顶部 返回列表