/var/log/nginx

Igor Sysoev igor на sysoev.ru
Ср Дек 15 00:45:39 MSK 2010


On Tue, Dec 14, 2010 at 09:59:10PM +0200, Gena Makhomed wrote:

> On 14.12.2010 20:51, Maxim Dounin wrote:
> 
> > Права на каталог с логами root:wheel 755 - хорошие, годные (только
> > нужно не забывать при вращении создавать файлы с owner'ом nginx
> > перед USR1, а то воркеры останутся без логов).
> 
> и еще при этом, как минимум, нельзя будет
> устанавливать working_directory /var/log/nginx;

А зачем делать working directory в каталоге с логами ?
working_directory нужно для корок и всё.

> наверное придется остановиться на варианте частичного
> решения root:nginx 0750 - как это сделано в ALT Linux.
> 
> хотя лучше nginx:wheel 0550 - тогда только root сможет
> создавать лог-файлы, а читать каталог - nginx и wheel.
> 
> > Проблемы же PHP нужно фиксить в рамках PHP.
> 
> но почему же разработчики httpd так не думают?
> на каталог /var/log/httpd права root:root 0700

Потому что httpd не умеет переоткрывать логи мгновенно.
Только медленно и печально.

> а результате при httpd + php - уязвимости нет,
> а при nginx + httpd + php - уязвимость есть...

А как бы со случаем http://site.ru/index.php?file=/etc/passwd ?


-- 
Игорь Сысоев
http://sysoev.ru



Подробная информация о списке рассылки nginx-ru