Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: /var/log/nginx
Здравствуйте, Gena.
Вы писали 6 января 2011 г., 16:38:36:
> On 19.12.2010 23:02, Maxim Dounin wrote:
>>>>>>>> А почему параноики ставят минимальные права, с которыми вообще
>>>>>>>> способна работать программа, на всё, до чего дотянутся - для меня
>>>>>>>> загадка. Видимо, потому что параноики.
> и еще, как быть с тем, что по умолчанию nginx создает лог-файлы
> доступные на чтение worker-процессам nginx ? и если на сервере
> mass virtual hosting и пользователи имеют доступ к своим каталогам
> по ssh, то они могут создать симлинк на /var/log/nginx/error.log
> и таким образом получить через http содержимое системного файла
> error.log и вообще access.log любого из сайтов расположенных
> на сервере. может быть лучше сделать так, чтобы лог-файлы
> nginx были доступны worker-процессам nginx только на запись?
> это ведь никому не будет мешать и не создаст неудобств... ?
> тем более, что сам nginx всегда эти лог-файлы открывает
> только для append, и никогда не открывает их на чтение.
> патчи в аттаче.
В обсуждении забывается тот аспект безопасности, что в случае "mass hosting"
пользователи получат не только доступ к системным логам, но и к файлам
других пользователей, в том числе хранящих доступы к БД, и другую информацию
подобного рода.
Что мы видим в результате ? Попытки лечения "симптомов" в виде
смены прав на лог-файлы и т п... :-)
А решение есть уже давно:
http://www.lexa.ru/nginx-ru/msg14919.html
(Описание: http://www.lexa.ru/nginx-ru/msg14850.html )
Как-то так...
--
С уважением,
Pavel mailto:pavel2000@xxxxxx
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru
|
