笙亿网络策划

多站点部署时如何为不同域名配置独立 PHP-FPM 进程池?

约 7 分钟读完 36 阅
文章导读
为每个站点分配独立系统用户并配置专属 PHP-FPM 池,可将单站点 pm.max_children 从默认 50 降至 10,有效避免 OOM killer 触发,实现真正的权限隔离。
📋 目录
  1. 原因分析
  2. 解决方案
  3. 注意事项
  4. 参考来源
A A

多站点部署时如何为不同域名配置独立 PHP-FPM 进程池?

核心结论:为每个站点分配独立系统用户并配置专属 PHP-FPM 池,可将单站点 pm.max_children 从默认 50 降至 10,有效避免 OOM killer 触发,实现真正的权限隔离。

原因分析

多站点共用默认 www 池会导致所有站点运行在同一用户上下文(如 www-data)中,一旦某个站点被入侵,攻击者即可读写其他站点的文件。根据 2026 年 4 月 23 日的技术资料,直接修改/etc/php/8.3/fpm/pool.d/www.conf 会让所有站点共用同一用户,存在全盘沦陷风险。独立池的核心价值在于让每个站点运行在隔离的用户上下文中——比如 sitea 用 sitea-user,siteb 用 siteb-user,彼此 home 目录、临时文件、错误日志全不互通。若漏掉创建系统用户步骤,systemctl restart php8.3-fpm 会静默失败,在 journalctl -u php8.3-fpm -n 20 里能看到"failed to set user"报错。

解决方案

一、创建独立系统用户

PHP-FPM 进程本身不能自动创建系统用户,必须手动添加。使用命令:adduser --disabled-password --gecos "" sitea-user 创建无登录能力的用户。然后将网站根目录归属设为该用户:sudo chown -R sitea-user:sitea-user /var/www/sitea。确保/var/www/sitea/tmp 可写(session、upload 等依赖它):chmod 700 /var/www/sitea/tmp。如果用 Composer,还要给该用户加~/.composer 目录并设对权限。

二、配置 PHP-FPM 独立池

在 pool.d 目录下创建新配置文件,关键 5 个参数缺一不可:1)listen = /run/php/php8.3-fpm.sitea.sock(套接字名要带站点标识,避免和默认池冲突);2)listen.owner = sitea-user 和 listen.group = sitea-user(不是 www-data,否则 Nginx 访问套接字会 Permission denied);3)user = sitea-user 和 group = sitea-user(决定 PHP 脚本以谁的身份执行文件操作);4)pm.max_children = 10(别照搬默认池的 50,按单站点并发预估,超了反而触发 OOM killer);5)php_admin_value[error_log] = /var/log/php-fpm/sitea-error.log(独立日志便于排查)。

三、配置 Nginx 虚拟主机

在 Nginx 的 server 块内,fastcgi_pass 必须与对应 PHP-FPM 池的 listen 完全一致:若池配置为 listen = 127.0.0.1:9074,则写 fastcgi_pass 127.0.0.1:9074;若为 unix:/run/php/php8.2-fpm.sock,就写 fastcgi_pass unix:/run/php/php8.2-fpm.sock。务必检查 fastcgi_param SCRIPT_FILENAME 是否指向真实文件路径,常见错误是写成$document_root$fastcgi_script_name 但$document_root 未在 location 中定义,导致"File not found"错误。不同 PHP 版本对 opcache、upload_max_filesize 等 ini 项独立生效,但 open_basedir 若跨目录限制过严,可能使 include 失败——需在各池的 php_admin_value[open_basedir] 中显式放开对应站点根目录。

多站点部署时如何为不同域名配置独立 PHP-FPM 进程池?

四、宝塔面板特殊配置

宝塔面板用户需在软件商店中定位目标 PHP 版本(如 PHP 7.4 或 PHP 8.2),进入 PHP-FPM 设置选项卡,复制默认 [www] 池配置,重命名为 [site_example_com](仅允许字母、数字、下划线,不可含点号或短横线)。在网站设置中切换至【PHP 版本】选项卡,从下拉菜单选择已安装的目标版本,点击【提交】后面板将自动重载该站点对应的 PHP-FPM 进程组。注意:修改后无需重启 Nginx/Apache,但需确保对应 PHP 版本的 FPM 服务处于运行中状态。

注意事项

1. 权限陷阱:很多用户以为改了运行用户就安全了,结果 wp-content 下的 plugins 或 uploads 仍能被任意站点通过 PHP file_get_contents 读取——因为 Linux 权限只管属主/属组/其他,不防同组内跨目录访问。必须靠"属主唯一 + 组权限收紧 + 上传目录额外限制"三重卡死。wp-config.php 必须 chmod 600 且属主为独立用户,防止被其他站点的 PHP 用 include 加载。

2. 宝塔批量操作风险:宝塔的「网站模板」或「批量设置」功能会强行统一运行用户和权限,直接废掉隔离。几十个站点必须用脚本驱动,否则漏配一个就等于留后门(2026 年 4 月 5 日资料)。

3. phpEnv 环境特殊要求:phpEnv 默认启用的是 Apache + PHP-FPM 模式(非 mod_php),光写 DocumentRoot 和<Directory>不够,必须显式声明如何转发 PHP 请求。常见错误现象:页面能打开,但.php 文件直接下载或显示源码;或者返回 500 且 error_log 提示"proxy: fcgi://127.0.0.1:9000 connection refused"(2026 年 4 月 23 日资料)。

4. 版本兼容性:宝塔面板不支持跨版本复用进程池配置,每个 PHP 版本安装后会自动启动 PHP-FPM 服务,无需手动启用。若目标版本未安装,将无法在站点设置中选择(2026 年 3 月 14 日资料)。

多站点部署时如何为不同域名配置独立 PHP-FPM 进程池?

参考来源

来源:宝塔面板官方文档 - 如何在宝塔面板中为特定网站分配独立的 PHP-FPM 进程池(2026 年 3 月 13 日)

来源:Ubuntu PHP-FPM 配置指南 - 如何在 Ubuntu 上为 PHP 8.3 配置独立的 PHP-FPM 池(2026 年 4 月 23 日)

来源:Linux 多站点管理实践 - 怎么在宝塔面板实现几十个 WordPress 站点的相互隔离(2026 年 4 月 5 日)

来源:Nginx 多版本配置 - PHP 怎样让多站点用不同解释器(2026 年 1 月 16 日)