ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: 1.1.15 - картинки.


  • To: nginx-ru@xxxxxxxxx
  • Subject: Re: 1.1.15 - картинки.
  • From: "mgnhost" <nginx-forum@xxxxxxxx>
  • Date: Mon, 20 Feb 2012 14:40:54 -0500 (EST)
  • Dkim-signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=tigger.jlkhosting.com; s=x; h=From:References:In-Reply-To:Message-ID:Content-Transfer-Encoding:Content-Type:Subject:To:Date; bh=20yPCZtPKv1Lj2UMoqsXsDQkxyBinhPQ7Azo5NMiVwM=; b=VjUEKHW+SQOjE2DirxYUTU9A07GndMVqAIfM82pKXK+almLBjy094iD/7Ey47trUd8KTGz33itPiGhyKROrpTB+a8hVJEk5hmUwL2+8Q4brOvsks4QCxD+1KrrLz8Byj;
  • In-reply-to: <201202201817.41619.ne@vbart.ru>
  • References: <201202201817.41619.ne@vbart.ru>

Валентин Бартенев Wrote:
-------------------------------------------------------
> On Monday 20 February 2012 16:35:12 mgnhost wrote:
> [...]
> > 
> > А почему бы не проверять
> симлинки
> > только в директории,
> которая указана в
> > root и ниже, а вышележащии
> директории не
> > проверять?
> 
> root может быть задан
> переменными, не для всех
> директив используется, и
> ещё 
> множество тонкостей из-за
> которых было решено
> отказаться от такого
> подхода.
> 
> И кто помешает
> пользователю поставить
> симлинк где-то на пути root-а?
> У вас всегда 
> директива root указывает
> только /home/username/ и не дальше?

Данный вариант Я предложил как
временное решение, пока не появится
нормальной реализации.

> > По поводу безопасности Вы
> очень сильно
> > ошибаетесь, особенно в
> условиях шаред
> > хостинга.
> 
> Можно пример, чем вам
> грозит +r для юзера от
> которого работает nginx? А
> главное, 
> почему это грозит больше,
> чем симлинки?

В нашем случае, права на домашную
директорию пользователя выставляются
501, соответственно исходя из Вашего
предложения, понадобится либо включать
пользователя под которым работает nginx,
в группу weel, чтобы он мог читать, либо
повышать права на директории.
Как понимаете, ни первый, не второй
способ совсем не вариант.

> > P.S. А когда ждать патч то?
> > 
> 
> Когда будет готов и
> оттестирован. С O_PATH также
> не будет работать if_not_owner, 
> поэтому использования
> этого флага под вопросом.

А хотя бы примерные сроки есть?

Posted at Nginx Forum: 
http://forum.nginx.org/read.php?21,222577,222738#msg-222738

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.