Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: чтение чужих файлов: не стоит патчить

To: nginx-ru@xxxxxxxxx
Subject: Re: чтение чужих файлов: не стоит патчить
From: Gena Makhomed <gmm@xxxxxxxxx>
Date: Mon, 28 Nov 2011 13:24:40 +0200
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=csdoc.com; s=dkim; t=1322479482; bh=xTccLhE9ztYY7ncR5i+xqYmGutBkMdQbj6o6yRRCfCg=; h=Message-ID:Date:From:MIME-Version:To:Subject:References: In-Reply-To:Content-Type:Content-Transfer-Encoding; b=KZmTBvqsmPo21+ym3mkPg7PaFZblZDT5fmLNiRm9ZbamPvv9NSwqMcxKXK8SKPXbh HXd2YbFn8tgEZ+rj3R/U8E1C3P6HpqwT3h4G8fnQtRSC++mmxyJHnCbNhn1xcHY6GB Zdwd4I8n5LtVEXE8jbDNzCTP7QKTYp84noDHwR0c=
In-reply-to: <1094358627.20111128181330@xxxxxx>
References: <1594eadc003bdfe5ebd902833d5d7c93.NginxMailingListRussian@xxxxxxxxxxxxxxx> <20111126051920.GR3769@xxxxxxxxxxxxxxxxx> <413943734.20111126172804@xxxxxx> <20111127130902.GA3834@xxxxxxxxxxxxxxxxx> <CAPP2NXq040tZvQH0D-SeiTPMwMCa=5LYQd2HmNMT1zPOezRHpg@xxxxxxxxxxxxxx> <4ED36878.2010701@xxxxxxxxx> <1094358627.20111128181330@xxxxxx>

On 28.11.2011 13:13, Pavel V. wrote:

Имхо, вопрос с доступам к файлам это не та часть, которую должен
разруливать nginx. Иначе получится какой то php-ный safe mode. Запуск
того же php с правами нужного юзера и выставление на папку с конфигами
прав 700 решает проблему симлинков.

это решает проблему симлинков, но появляется другая проблема -
как в таких условиях отдавать статику через nginx, не запуская
каждому пользователю свой собственный экземпляр веб-сервера.

А тут всё просто. На скрипты - 700, на шаредное файло, раздаваемое с помощью 
Nginx - 644.
Только вот кто такой прецизионной расстановкой прав займется ?


это нереально. если у пользователей что-то не работает / глючит,
первым делом они делают chmod 777 на все файлы в надежде решить
свою проблему - неоднократно такое уже видел.

поэтому - нужна защита от скачивания чужих конфигов через симлинки
именно на уровне веб-сервера, который занимается раздачей статики.

--
Best regards,
 Gena

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Follow-Ups:
- Re: чтение чужих файлов: не стоит патчить
  - From: Dmitry E. Oboukhov
- Re: чтение чужих файлов: не стоит патчить
  - From: Алексей Сундуков
- Re: чтение чужих файлов: не стоит патчить
  - From: Daniel Podolsky

References:
- чтение чужих файлов.
  - From: adept
- Re: чтение чужих файлов: не стоит патчить
  - From: Dmitry E. Oboukhov
- Re: чтение чужих файлов: не стоит патчить
  - From: Pavel V.
- Re: чтение чужих файлов: не стоит патчить
  - From: Dmitry E. Oboukhov
- Re: чтение чужих файлов: не стоит патчить
  - From: Алексей Сундуков
- Re: чтение чужих файлов: не стоит патчить
  - From: Gena Makhomed
- Re: чтение чужих файлов: не стоит патчить
  - From: Pavel V.

Prev by Date: Re: Сложный реврайт
Next by Date: Re: error_log в документации
Previous by thread: Re: чтение чужих файлов: не стоит патчить
Next by thread: Re: чтение чужих файлов: не стоит патчить
Index(es):
- Date
- Thread