Re: /var/log/nginx

[Gena Makhomed <gmm@xxxxxxxxx>]

On 19.12.2010 23:02, Maxim Dounin wrote:

> > > > > > > А почему параноики ставят минимальные права, с которыми вообще
> > > > > > > способна работать программа, на всё, до чего дотянутся - для меня
> > > > > > > загадка. Видимо, потому что параноики.
и еще, как быть с тем, что по умолчанию nginx создает лог-файлы
доступные на чтение worker-процессам nginx ? и если на сервере
mass virtual hosting и пользователи имеют доступ к своим каталогам
по ssh, то они могут создать симлинк на /var/log/nginx/error.log
и таким образом получить через http содержимое системного файла
error.log и вообще access.log любого из сайтов расположенных
на сервере. может быть лучше сделать так, чтобы лог-файлы
nginx были доступны worker-процессам nginx только на запись?
это ведь никому не будет мешать и не создаст неудобств... ?

тем более, что сам nginx всегда эти лог-файлы открывает
только для append, и никогда не открывает их на чтение.

патчи в аттаче.

P.S. ?Выживают только параноики? Эндрю Гроув

--
Best regards,
 Gena

--- src/core/ngx_cycle.c.orig   2011-01-03 18:41:26.000000000 +0200
+++ src/core/ngx_cycle.c        2011-01-03 18:46:47.000000000 +0200
@@ -1201,9 +1201,9 @@
                 }
             }
 
-            if ((fi.st_mode & (S_IRUSR|S_IWUSR)) != (S_IRUSR|S_IWUSR)) {
+            if ((fi.st_mode & S_IRWXU) != S_IWUSR) {
 
-                fi.st_mode |= (S_IRUSR|S_IWUSR);
+                fi.st_mode = (fi.st_mode & ~S_IRWXU) | S_IWUSR;
 
                 if (chmod((const char *) file[i].name.data, fi.st_mode) == -1) 
{
                     ngx_log_error(NGX_LOG_EMERG, cycle->log, ngx_errno,

--- src/core/ngx_cycle.c.orig   2011-01-03 19:24:20.000000000 +0200
+++ src/core/ngx_cycle.c        2011-01-03 19:27:50.000000000 +0200
@@ -1187,11 +1187,13 @@
                 }
             }
 
-            if (fi.st_uid != user) {
-                if (chown((const char *) file[i].name.data, user, -1) == -1) {
+            if ((fi.st_mode & S_IRWXU) != S_IWUSR) {
+
+                fi.st_mode = (fi.st_mode & ~S_IRWXU) | S_IWUSR;
+
+                if (chmod((const char *) file[i].name.data, fi.st_mode) == -1) 
{
                     ngx_log_error(NGX_LOG_EMERG, cycle->log, ngx_errno,
-                                  "chown(\"%s\", %d) failed",
-                                  file[i].name.data, user);
+                                  "chmod() \"%s\" failed", file[i].name.data);
 
                     if (ngx_close_file(fd) == NGX_FILE_ERROR) {
                         ngx_log_error(NGX_LOG_EMERG, cycle->log, ngx_errno,
@@ -1201,13 +1203,11 @@
                 }
             }
 
-            if ((fi.st_mode & S_IRWXU) != S_IWUSR) {
-
-                fi.st_mode = (fi.st_mode & ~S_IRWXU) | S_IWUSR;
-
-                if (chmod((const char *) file[i].name.data, fi.st_mode) == -1) 
{
+            if (fi.st_uid != user) {
+                if (chown((const char *) file[i].name.data, user, -1) == -1) {
                     ngx_log_error(NGX_LOG_EMERG, cycle->log, ngx_errno,
-                                  "chmod() \"%s\" failed", file[i].name.data);
+                                  "chown(\"%s\", %d) failed",
+                                  file[i].name.data, user);
 
                     if (ngx_close_file(fd) == NGX_FILE_ERROR) {
                         ngx_log_error(NGX_LOG_EMERG, cycle->log, ngx_errno,

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru