使用普通用户运行 Composer 可避免因外部包恶意代码导致的系统级破坏,遵循最小权限原则,降低供应链攻击风险,保障生产环境安全。
使用 root 用户运行 Composer 存在严重的安全风险,因此官方明确建议不要以 root 权限执行 Composer 命令。主要原因在于 Composer 在安装和更新依赖时会执行外部代码,如果以最高权限运行,可能对系统造成不可控的破坏。
外部包可能包含恶意代码
Composer 会从 Packagist 等第三方仓库下载并安装 PHP 包,这些包由不同开发者维护,质量与安全性参差不齐。一旦某个包被植入恶意脚本(例如删除文件、写入后门、修改系统配置),而你正用 root 身份运行 Composer,这个脚本就会拥有系统最高权限。
举例来说,一个恶意 post-install-cmd 脚本可以:
- 删除关键系统文件
- 修改 SSH 配置允许远程登录
- 窃取敏感数据并外传
依赖链攻击风险高
你的项目不仅依赖直接声明的包,还依赖它们的依赖(即嵌套依赖)。你无法完全掌控整个依赖树的安全性。攻击者可以通过劫持某个冷门但被广泛间接引用的包,实现供应链攻击。root 权限会让这种攻击后果更严重。
最小权限原则
遵循“最小权限原则”是基本安全实践。Composer 只需要读写项目目录的权限即可完成大部分操作。你应该创建一个普通用户来管理项目,并确保该用户对 web 目录有适当读写权限即可。
推荐做法:
- 用普通用户身份运行 composer install 和 composer update
- 若需更改系统级目录权限,使用 sudo 单独提权,而非全程以 root 运行 Composer
- 生产环境部署时,通过 CI/CD 流程在隔离环境中构建依赖,再复制到目标服务器
