ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: /var/log/nginx



Здравствуйте, Gena.

Вы писали 6 января 2011 г., 16:38:36:

> On 19.12.2010 23:02, Maxim Dounin wrote:

>>>>>>>> А почему параноики ставят минимальные права, с которыми вообще
>>>>>>>> способна работать программа, на всё, до чего дотянутся - для меня
>>>>>>>> загадка. Видимо, потому что параноики.

> и еще, как быть с тем, что по умолчанию nginx создает лог-файлы
> доступные на чтение worker-процессам nginx ? и если на сервере
> mass virtual hosting и пользователи имеют доступ к своим каталогам
> по ssh, то они могут создать симлинк на /var/log/nginx/error.log
> и таким образом получить через http содержимое системного файла
> error.log и вообще access.log любого из сайтов расположенных
> на сервере. может быть лучше сделать так, чтобы лог-файлы
> nginx были доступны worker-процессам nginx только на запись?
> это ведь никому не будет мешать и не создаст неудобств... ?

> тем более, что сам nginx всегда эти лог-файлы открывает
> только для append, и никогда не открывает их на чтение.

> патчи в аттаче.

В обсуждении забывается тот аспект безопасности, что в случае "mass hosting"
пользователи получат не только доступ к системным логам, но и к файлам
других пользователей, в том числе хранящих доступы к БД, и другую информацию
подобного рода.

Что мы видим в результате ? Попытки лечения "симптомов" в виде
смены прав на лог-файлы и т п...      :-)

А решение есть уже давно:
http://www.lexa.ru/nginx-ru/msg14919.html
(Описание: http://www.lexa.ru/nginx-ru/msg14850.html )

Как-то так...

-- 
С уважением,
 Pavel                          mailto:pavel2000@xxxxxx


_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.