Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: чтение чужих файлов: не стоит патчить

To: nginx-ru@xxxxxxxxx
Subject: Re: чтение чужих файлов: не стоит патчить
From: Gena Makhomed <gmm@xxxxxxxxx>
Date: Mon, 28 Nov 2011 12:50:40 +0200
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=csdoc.com; s=dkim; t=1322477441; bh=vOg5schrKwLA1kmwMcvcGMxPdErhg1Vw0dh5XhFG4JU=; h=Message-ID:Date:From:MIME-Version:To:Subject:References: In-Reply-To:Content-Type:Content-Transfer-Encoding; b=d2thCQef6CpJ6KpQ5zvMW16OMRt7KAGAfBnnUrP+Q9CZcWWlXEA2TDwL08AUi8x4j gFrBTGRoX1Gb/QvQD/DvbCTU52b3VdZhNKdZOFXTf6s8zdUXjZJbNkAgfZCb4aSnuk qSR9P1tAVTtvZ5thDtAgcaxsr6GMv6UXpjv5fQLs=
In-reply-to: <20111127130902.GA3834@xxxxxxxxxxxxxxxxx>
References: <1594eadc003bdfe5ebd902833d5d7c93.NginxMailingListRussian@xxxxxxxxxxxxxxx> <20111126051920.GR3769@xxxxxxxxxxxxxxxxx> <413943734.20111126172804@xxxxxx> <20111127130902.GA3834@xxxxxxxxxxxxxxxxx>

On 27.11.2011 15:09, Dmitry E. Oboukhov wrote:

1. пользователь может создавать симлинки (= имеет доступ к файловой
системе от своего имени)
2. пользовтатель - один из пользователей шаред вебхостинга. то есть
может при желании запустить произвольный скрипт от имени вебсервера.

таким образом ограничение на хождение по симлинкам итп - лишь
сокращение удобных способов получить чужой конфиг.


да, это нужно для того, чтобы закрыть возможность
пользователям shared hosting`а получить чужой конфиг.

если этот чужой конфиг должен читать вебсервер, то единственный путь
его защитить - индивидуальный а не шаред вебсервер.


если "индивидуальный вебсервер" - это уже не будет shared hosting.

а костыли вида "не пойдет по симлинку" - лишь закрытие одного из сотен
путей


все остальные "удобные пути" можно закрыть корректной настройкой apache,
FollowSymLinks, SymLinksIfOwnerMatch, php_admin_value open_basedir
и корректной настройкой прав доступа к каталогам пользователей.

--
Best regards,
 Gena

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Follow-Ups:
- Re: чтение чужих файлов: не стоит патчить
  - From: Peter Vereshagin
- Re: чтение чужих файлов: не стоит патчить
  - From: Dmitry E. Oboukhov

References:
- чтение чужих файлов.
  - From: adept
- Re: чтение чужих файлов: не стоит патчить
  - From: Dmitry E. Oboukhov
- Re: чтение чужих файлов: не стоит патчить
  - From: Pavel V.
- Re: чтение чужих файлов: не стоит патчить
  - From: Dmitry E. Oboukhov

Prev by Date: Re: Простейшая арифметика в конфиге
Next by Date: Re: чтение чужих файлов: не стоит патчить
Previous by thread: Re: чтение чужих файлов: не стоит патчить
Next by thread: Re: чтение чужих файлов: не стоит патчить
Index(es):
- Date
- Thread