ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: /var/log/nginx



On 16.12.2010 0:23, Maxim Dounin wrote:

Просто нужно понять для себя, что "PHP Local File ..." легко
превращается в remote code execution.  И лечить проблему, а не
следствие.

для себя я понимаю. но кроме меня есть еще много людей,
которым нужен софт, который создан с использованием PHP.
в том числе и killer app, аналогов которым нет (MediaWiki)

Не говоря уже о том, что средств ограничить php в том, до каких
файлов он вообще сможет добраться - море, начиная от классического
chroot

"chroot is not and never has been a security tool" (ц) Alan Cox
не говоря уже о том, что например, для 2000 сайтов надо будет 2000
chroot`ов и как минимум 2000 одновременно запущенных экземпляров PHP.

и заканчивая php'шным же open_basedir.

защита open_basedir имеет смысл только в том случае,
если PHP не имеет права выполнять внешние программы.
если имеет, то ограничение open_basedir легко обходится.

А почему параноики ставят минимальные права, с которыми вообще
способна работать программа, на всё, до чего дотянутся - для меня
загадка.  Видимо, потому что параноики.

это называется "Principle of least privilege".

Я знаю, как это называется, спасибо.  И очень хорошо знаю, к чему
это приводит на практике.

вот я поэтому и задаю вопросы в этом списке рассылки, чтобы понять,
какие могут быть проблемы, если добавить пользователя nginx в группу
www-logs и поставить права доступа root:www-logs 0750 /var/log/nginx ?

--
Best regards,
 Gena


_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.