/var/log/nginx

Gena Makhomed gmm на csdoc.com
Чт Дек 16 02:28:04 MSK 2010


On 16.12.2010 0:23, Maxim Dounin wrote:

> Просто нужно понять для себя, что "PHP Local File ..." легко
> превращается в remote code execution.  И лечить проблему, а не
> следствие.

для себя я понимаю. но кроме меня есть еще много людей,
которым нужен софт, который создан с использованием PHP.
в том числе и killer app, аналогов которым нет (MediaWiki)

> Не говоря уже о том, что средств ограничить php в том, до каких
> файлов он вообще сможет добраться - море, начиная от классического
> chroot

"chroot is not and never has been a security tool" (ц) Alan Cox
не говоря уже о том, что например, для 2000 сайтов надо будет 2000
chroot`ов и как минимум 2000 одновременно запущенных экземпляров PHP.

> и заканчивая php'шным же open_basedir.

защита open_basedir имеет смысл только в том случае,
если PHP не имеет права выполнять внешние программы.
если имеет, то ограничение open_basedir легко обходится.

>>> А почему параноики ставят минимальные права, с которыми вообще
>>> способна работать программа, на всё, до чего дотянутся - для меня
>>> загадка.  Видимо, потому что параноики.

>> это называется "Principle of least privilege".

> Я знаю, как это называется, спасибо.  И очень хорошо знаю, к чему
> это приводит на практике.

вот я поэтому и задаю вопросы в этом списке рассылки, чтобы понять,
какие могут быть проблемы, если добавить пользователя nginx в группу
www-logs и поставить права доступа root:www-logs 0750 /var/log/nginx ?

-- 
Best regards,
  Gena




Подробная информация о списке рассылки nginx-ru