NGINX Unit中PHP应用的文件权限配置实践

在使用NGINX Unit部署PHP应用时，文件系统权限管理是一个需要特别注意的环节。本文将通过一个典型场景，详细介绍如何正确配置Unit以实现PHP应用对非应用目录的读写操作。

问题背景

当PHP应用运行在NGINX Unit容器环境中时，应用代码通常存放在特定目录（如/mnt/code/）。但实际业务中，应用可能需要在其他目录（如/data-store）创建和修改文件。这时常见的权限问题表现为：

mkdir(): Permission denied in /mnt/code/src......

核心原理

NGINX Unit默认以特定用户身份运行应用进程（通常是'unit'用户）。要解决权限问题，需要确保：

1. 目标目录对Unit进程用户可写
2. PHP应用配置中明确指定运行用户
3. 目录权限设置正确（包括父目录）

解决方案

1. 目录权限配置

在Dockerfile中预先创建目标目录并设置正确权限：

RUN mkdir /data-store && chown -R unit:unit /data-store

这一步确保目标目录存在且Unit进程用户对其有完全控制权。

2. Unit配置文件

在config.json中明确指定应用运行用户：

"applications": {
  "data-exchange": {
    "type": "php",
    "user": "unit",
    "group": "unit",
    ...
  }
}

3. PHP代码实现

在PHP中使用mkdir时，建议：

// 设置宽松权限（开发环境）
mkdir($directory, 0777, true);
// 生产环境建议使用更严格的权限如0755

最佳实践

1. 最小权限原则：生产环境不应使用0777权限，应根据实际需求设置
2. 目录规划：建议将需要写入的目录统一放在特定位置（如/var/www-data/）
3. 用户隔离：为不同应用使用不同的系统用户，增强安全性
4. SELinux考虑：在启用SELinux的系统上，还需要配置正确的安全上下文

扩展知识

在容器化环境中，还可以通过以下方式管理权限：

• 使用Docker volume时设置正确的uid/gid
• 在Kubernetes中使用initContainer预先准备目录
• 通过Pod Security Context设置fsGroup

通过以上配置，PHP应用就能在NGINX Unit环境中安全地访问所需目录，实现文件存储等功能需求。