Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: 1.1.15 - картинки.

To: nginx-ru@xxxxxxxxx
Subject: Re: 1.1.15 - картинки.
From: Валентин Бартенев <ne@xxxxxxxx>
Date: Mon, 20 Feb 2012 11:50:05 +0400
Dkim-signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=vbart.ru; s=mail; h=Message-Id:Content-Transfer-Encoding:Content-Type:MIME-Version:In-Reply-To:References:Date:Subject:To:From; bh=N0cqQ5kCH9HBgLuH09V7g7vzy8xC5PPNpUmWX6Xv52w=; b=PMiHTDY/8RudNICTPmqsT3ikqxQxB42KY/0ULx6Hvu48Q4RlUFdg7pTQ6Gi1W2i40hY2iBo1lin7+g7gTSWc+fqw9tO4aMVCfdR+/4H+bQsPGBV7UMoqnKiaiWXXi+C9KTpwaELwZDE86uzMFnxlKBuN8P9z68Adt1XA00g8TPJz9fZUjSMvr+GtziYh5x3qp3SoZwp1eZo36z1A6L2nOfbFA4EHwAcKTakF+KK7zGVB0i6lU6hq1kEjR0iOYwPVo/y1mouxOJbcXVSBfT8QXwlFX9+CUhQwVkbY7X3x/1yDnVv1EgBdvMFxzb21tWgb1DXc8r8PjoFFrYZVomSqWQ==;
In-reply-to: <4af8c2bfddf1405b40177e4310bb7be7.NginxMailingListRussian@forum.nginx.org>
References: <a19a0d83d6667839bd24c96aedec6b2b.NginxMailingListRussian@forum.nginx.org> <4af8c2bfddf1405b40177e4310bb7be7.NginxMailingListRussian@forum.nginx.org>

On Monday 20 February 2012 02:46:57 adept wrote:
> Насколько я понял, толку от disable_symlinks -
> 0.0%, ибо нормально использовать его не
> выйдет.
> И исправлять это ни кто не собирается.
> 

Вам шашечки или ехать? К сожалению, в настоящий момент на Linux системах нету 
флагов O_SEARCH/O_EXEC для открытия каталога, поэтому чтобы проверить 
отсутствие 
симлинков открывать все промежуточные директории приходится с O_RDONLY.

Так, что если хотите проверять симлинки, то необходимо давать nginx права на 
чтение всех промежуточных каталогов. Реальной угрозы безопасности в этом IMHO 
нету.

В ближайшее время выйдет патч исправляющий ситуацию на Solaris, FreeBSD 8 и 
выше, 
а также некоторых bleeding edge Linux-дистрибутивов (типа Arch Linux, где уже 
появился флаг O_PATH).

Частичным решением проблемы могла бы стать возможность явного указания каталога 
от которого начинать проверку симлинков, но таковая требует ещё значительного 
времени и усилий на реализацию. Так что рекомендую поставить +r и набраться 
терпения.

--
Валентин Бартенев
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Follow-Ups:
- Re: 1.1.15 - картинки.
  - From: mgnhost

References:
- 1.1.15 - картинки.
  - From: adept
- Re: 1.1.15 - картинки.
  - From: adept

Prev by Date: Re: 1.1.15 - картинки.
Next by Date: Re: Посоветуйте конфиг nginx для отдачи одновременно 10к+ файлов
Previous by thread: Re: 1.1.15 - картинки.
Next by thread: Re: 1.1.15 - картинки.
Index(es):
- Date
- Thread