Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: /var/log/nginx

To: nginx-ru@xxxxxxxxx
Subject: Re: /var/log/nginx
From: Gena Makhomed <gmm@xxxxxxxxx>
Date: Sun, 19 Dec 2010 13:31:08 +0200
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=csdoc.com; s=dkim; t=1292758269; bh=bK+O1cbZ5KitLqPRCnzUhsuRgTyu2GAk0w/h3YUpBfw=; h=Message-ID:Date:From:MIME-Version:To:Subject:References: In-Reply-To:Content-Type:Content-Transfer-Encoding; b=QFlj915f5x3deKswsLyp6o0RHpGVnGg60/tFi3qMD818kK+WSKVLS0Le+NMN1ltV+ ozm26Ve9nChNZhdwFtlAMvDvQHpqwv7w7yfRMLIUUS1sqPouZdYHH3sTjoUBO623Ie +7rrsdQnP/pA/uoQL+U9GhD1c4mGK7QFWRwaLi20=
In-reply-to: <20101216020449.GL1084@xxxxxxxxxx>
References: <4D07B1EE.6070908@xxxxxxxxx> <20101214185153.GD1084@xxxxxxxxxx> <4D07CC8E.9050503@xxxxxxxxx> <20101215003700.GE1084@xxxxxxxxxx> <4D0918F5.2090706@xxxxxxxxx> <20101215222341.GJ1084@xxxxxxxxxx> <4D094F04.1020507@xxxxxxxxx> <20101216020449.GL1084@xxxxxxxxxx>

On 16.12.2010 4:04, Maxim Dounin wrote:

А почему параноики ставят минимальные права, с которыми вообще
способна работать программа, на всё, до чего дотянутся - для меня
загадка.  Видимо, потому что параноики.

это называется "Principle of least privilege".

Я знаю, как это называется, спасибо.  И очень хорошо знаю, к чему
это приводит на практике.

вот я поэтому и задаю вопросы в этом списке рассылки, чтобы понять,
какие могут быть проблемы, если добавить пользователя nginx в группу
www-logs и поставить права доступа root:www-logs 0750 /var/log/nginx ?

С точки зрения nginx'а - проблем не будет (ему там вообще
достаточно x).  С точки зрения администрирования - проблем почти
не будет, если не забудете включить всех заинтересованных в группу
www-logs.

Но, повторюсь, я не считаю ограничение прав в данном случае
правильным.  Проблема не в правах на логи nginx'а, проблема в php
local file include.  Подобное ещё может быть как-то уместно на
shared-хостинге, но уж точно не как general practice.


даже если забыть о существовании PHP, и любого другого уязвимого
софта на сервере - есть и другие причины, почему не стоит делать
каталог с логами nginx по умолчанию all users / world readable:

в отладочный лог nginx пишет в кодировка base64 login/password
от auth_basic модуля, и если на сервере несколько пользователей,
то совсем не обязательно, чтобы они могли смотреть в логе чужие пароли.

"Secure by Default" - это ведь хороший принцип настройки софта,
единственное "неудобство" что надо будет явно указать кому необходим
доступ к логам работы nginx путем добавления их в группу www-logs.

разве это есть правильно делать изначально уязвимую к утечкам паролей
систему, и полагаться только на то, что администраторы об этом смогут
самостоятельно догадаться и позакрывать эти уязвимости в permissions?

в чем я неправ?

--
Best regards,
 Gena


_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru

Follow-Ups:
- Re: /var/log/nginx
  - From: Maxim Dounin

References:
- /var/log/nginx
  - From: Gena Makhomed
- Re: /var/log/nginx
  - From: Maxim Dounin
- Re: /var/log/nginx
  - From: Gena Makhomed
- Re: /var/log/nginx
  - From: Maxim Dounin
- Re: /var/log/nginx
  - From: Gena Makhomed
- Re: /var/log/nginx
  - From: Maxim Dounin
- Re: /var/log/nginx
  - From: Gena Makhomed
- Re: /var/log/nginx
  - From: Maxim Dounin

Prev by Date: Re: [bug] парсинг конфига - оши бка для upstream {}
Next by Date: Re: upload module не могу разобрат ся
Previous by thread: Re: /var/log/nginx
Next by thread: Re: /var/log/nginx
Index(es):
- Date
- Thread