安全配置
1. nginx介紹
nginx本身不能處理PHP，它只是個web服務器，當接收到請求后，如果是php請求，則發給php解釋器處理，并把結果返回給客戶端。nginx一般是把請求發fastcgi管理進程處理，fastcgi管理進程選擇cgi子進程處理結果并返回被nginx。
nginx涉及到兩個賬戶，一個是nginx的運行賬戶，一個是php-fpm的運行賬戶。如果訪問的是一個靜態文件，則只需要nginx的運行賬戶對文件具有讀取權限；而如果訪問的是一個php文件，則首先需要nginx的運行賬戶對文件有讀取權限，讀取到文件后發現是一個php文件，則轉發給php-fpm，此時則需要php-fpm賬戶對文件具有讀取權限。
2.一些經驗 結論
2.1. linux下，要讀取一個文件，首先需要具有對文件所在文件夾的執行權限,然后需要對文件的讀取權限。
2.2. php文件的執行不需要文件的執行權限，只需要nginx和php-fpm運行賬戶的讀取權限。
2.3. 上傳木馬后，能不能列出一個文件夾的內容，跟php-fpm的運行賬戶對文件夾的讀取權限有關。
2.4. 木馬執行命令的權限跟php-fpm的賬戶權限有關。
2.5. 如果木馬要執行命令，需要php-fpm的賬戶對相應的sh有執行權限。
2.6. 要讀取一個文件夾內的文件，是不需要對文件夾有讀取權限的，只需要對文件夾有執行權限。
3. Nginx服務器涉及到的安全配置
3.1  Nginx.conf的配置
3.2  php-fpm.conf的配置
3.3  nginx和php-fpm的運行賬戶對磁盤的權限配置
3.4  Php.ini的配置
4. 常見配置
4.1 禁止一個目錄的訪問
示例：禁止訪問path目錄

location ^~ /path {deny all;}

可以把path換成實際需要的目錄，目錄path后是否帶有"/",帶“/”會禁止訪問該目錄和該目錄下所有文件。不帶"/"的情況就有些復雜了，只要目錄開頭匹配上那個關鍵字就會禁止；注意要放在fastcgi配置之前。
4.2 禁止php文件的訪問及執行
示例：去掉單個目錄的PHP執行權限

location ~ /attachments/.*/.(php|php5)?$ {deny all;}

示例：去掉多個目錄的PHP執行權限

location ~ /(attachments|upload)/.*/.(php|php5)?$ {deny all;}

4.3 禁止IP的訪問
示例：禁止IP段的寫法：

deny 10.0.0.0/24;

示例：只允許某個IP或某個IP段用戶訪問，其它的用戶全都禁止

allowx.x.x.x;allow 10.0.0.0/24;deny all;

5. 常見問題
5.1  讓木馬上傳后不能執行
針對上傳目錄，在nginx配置文件中加入配置，使此目錄無法解析php。
5. 2 讓木馬執行后看不到非網站目錄文件
取消php-fpm運行賬戶對于其他目錄的讀取權限。