Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: чтение чужих файлов: не стоит патчить

To: nginx-ru@xxxxxxxxx
Subject: Re: чтение чужих файлов: не стоит патчить
From: Peter Vereshagin <peter@xxxxxxxxxxxxxx>
Date: Mon, 28 Nov 2011 21:58:43 +0400
In-reply-to: <4ED36780.5030801@xxxxxxxxx>
Organization: '

Hello.

2011/11/28 10:50:50 +0000 nginx-ru-request@xxxxxxxxx => To nginx-ru@xxxxxxxxx :

> если "индивидуальный вебсервер" - это уже не будет shared hosting.
> 
> > а костыли вида "не пойдет по симлинку" - лишь закрытие одного из сотен
> > путей
> 
> все остальные "удобные пути" можно закрыть корректной настройкой apache,
> FollowSymLinks, SymLinksIfOwnerMatch, php_admin_value open_basedir
> и корректной настройкой прав доступа к каталогам пользователей.

Чересчур много условий. Я б рекомендовал сказать --- и отрезать:

    - юзерам чтобы не выкладывали коды своих банковских карточек ( & etc. ) на
      шареный виртхостинг
    - девелоперам nginx что уродливое (No)FollowSymlinks(IfOwnerMatch) не нужно.

В перспективе --- ждать, пока в o/s  появятся  nosymfollowifownernotmatch  для
mount. А вообще, шареный хостинг не нужен, есть облачные платформы, панельки к
ним приделал да продавай. Воистину задачка для школоты на GCI:

http://www.theregister.co.uk/2011/06/14/activestate_buys_teen_programmer/

BTW, как дела с поддержкой nginx в панельках управления шареными хостингами?
Если никак, то это лишний гвоздь в крышку гроба тем наподобие 'NoSymFollow для
nginx', 'htaccess для nginx'. Ибо $shared_hosting === $apache_httpd.

RFC на запуск php-демона следующим образом: линковка бинарников, в  дальнейшем
форки с раздельными  ивент-лупами  под  разными  uid'ами  на  разные  чруты  и
порты/локалсокеты  (  per  uid,   например   ).    Кол-во   форков   per   uid
можно сделать переменным, дабы адаптивно  менялось  под  slashdotting-нагрузки
per  uid.   При  этом  проблема  объединения  persistent-кеша  для  одинаковых
php-исходников  у  разных  uid  может  быть  решена   посредством   отдельного
мемкеш-лайк демона, хранящего пары вида "чексумма php-блоба - скомпилированный
опкод". Хороший способ сэкономить толпу ресурсов и таки разнести php-демоны по
uid'ам и chroot'ам.

--
Peter Vereshagin <peter@xxxxxxxxxxxxxx> (http://vereshagin.org) pgp: A0E26627 

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Follow-Ups:
- Re: чтение чужих файлов: не стоит патчить
  - From: Gena Makhomed

References:
- Re: чтение чужих файлов: не стоит патчить
  - From: Gena Makhomed

Prev by Date: Re: ????????????? ??????? ?????????? ??????? ? fastcgi
Next by Date: Re: чтение чужих файлов: не стоит патчить
Previous by thread: Re: Вывод nginx -V
Next by thread: Re: чтение чужих файлов: не стоит патчить
Index(es):
- Date
- Thread