權限分析：

   1，apache/nginx一般對于靜態資源都是負責只讀分發，對于php文件不處理，只是直接跟后端php-fpm交流，讓php-fpm去處理。

    2，后端php主要任務是解析php文件，當然可能會對靜態資源進行修改！特別是在php網站安裝時，需要目錄的寫權限。

   3，根目錄中update目錄，需要上傳修改。

  4 ,  根目錄中新創建的文件需要繼續根目錄用戶所有者

   加固方法：

 1，chown -R php-fpm:php-fpm 把html根目錄所有者修改給php-fpm，不要管nginx!

 2,  chmod -R 2755 html  設置html目錄有用戶繼承權 和 755權限 drwxr-sr-x

3，find . -name \*.php | xargs chmod 400 把所有php文件選權限設置為只有php只讀！

  特別加固：

 1，把根目錄所在文件夾單獨掛載一分區

          a,dd if=/dev/zero of=/www bs=1M count=1024 創建一個1G大小的根目錄空間

           b,mkfs.ext4 /www  格式化ext4文件系統

           c,開啟內核loop模塊 modprobe loop

           d,mount -o noexec,nodev /www 目標掛載目錄  關閉html執行功能防止二進制木馬，php木馬下面講！

          注意： 如果你的網站，只是需要修改創建upload指定目錄下的文件，可以更安全的隔離html和upload.給html分區-o r,noexec,nodev 給upload -o exec,nodev  一旦隔離了html和upload，我們可以使用selinux grsecurty等強制html分區只讀，固化加強安全級別！防止主頁串改！使用cron定期刷新內存防止內存緩存串改!

 2,php木馬防御，這個簡單有下面幾種方法：

   1，基本犯法,html全目錄md5/sha1簽名，使用aide等簽名軟件或者自己shell腳本，定制執行報警

   2，笨一點的方法 直接find . -name \*.php | grep -iE '常見的木馬文件內容比如eval base64...'

   3，高效點的直接修改php.ini禁止不需要的函數

    disable_functions= passthru，exec，shell_exec，system，fopen，mkdir，rmdir，chmod，unlink，dir ，fopen，fread，fclose，fwrite，file_exists ，closedir，is_dir，readdir.opendir ，fileperms.copy，unlink，delfile 等更具需要添加哈。。。。。。