Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: /var/log/nginx
On 16.12.2010 0:23, Maxim Dounin wrote:
Просто нужно понять для себя, что "PHP Local File ..." легко
превращается в remote code execution. И лечить проблему, а не
следствие.
для себя я понимаю. но кроме меня есть еще много людей,
которым нужен софт, который создан с использованием PHP.
в том числе и killer app, аналогов которым нет (MediaWiki)
Не говоря уже о том, что средств ограничить php в том, до каких
файлов он вообще сможет добраться - море, начиная от классического
chroot
"chroot is not and never has been a security tool" (ц) Alan Cox
не говоря уже о том, что например, для 2000 сайтов надо будет 2000
chroot`ов и как минимум 2000 одновременно запущенных экземпляров PHP.
и заканчивая php'шным же open_basedir.
защита open_basedir имеет смысл только в том случае,
если PHP не имеет права выполнять внешние программы.
если имеет, то ограничение open_basedir легко обходится.
А почему параноики ставят минимальные права, с которыми вообще
способна работать программа, на всё, до чего дотянутся - для меня
загадка. Видимо, потому что параноики.
это называется "Principle of least privilege".
Я знаю, как это называется, спасибо. И очень хорошо знаю, к чему
это приводит на практике.
вот я поэтому и задаю вопросы в этом списке рассылки, чтобы понять,
какие могут быть проблемы, если добавить пользователя nginx в группу
www-logs и поставить права доступа root:www-logs 0750 /var/log/nginx ?
--
Best regards,
Gena
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru
|