/var/log/nginx

Maxim Dounin mdounin на mdounin.ru
Пн Дек 20 00:02:45 MSK 2010


Hello!

On Sun, Dec 19, 2010 at 01:31:08PM +0200, Gena Makhomed wrote:

> On 16.12.2010 4:04, Maxim Dounin wrote:
> 
> >>>>>А почему параноики ставят минимальные права, с которыми вообще
> >>>>>способна работать программа, на всё, до чего дотянутся - для меня
> >>>>>загадка.  Видимо, потому что параноики.
> 
> >>>>это называется "Principle of least privilege".
> 
> >>>Я знаю, как это называется, спасибо.  И очень хорошо знаю, к чему
> >>>это приводит на практике.
> 
> >>вот я поэтому и задаю вопросы в этом списке рассылки, чтобы понять,
> >>какие могут быть проблемы, если добавить пользователя nginx в группу
> >>www-logs и поставить права доступа root:www-logs 0750 /var/log/nginx ?
> 
> >С точки зрения nginx'а - проблем не будет (ему там вообще
> >достаточно x).  С точки зрения администрирования - проблем почти
> >не будет, если не забудете включить всех заинтересованных в группу
> >www-logs.
> 
> >Но, повторюсь, я не считаю ограничение прав в данном случае
> >правильным.  Проблема не в правах на логи nginx'а, проблема в php
> >local file include.  Подобное ещё может быть как-то уместно на
> >shared-хостинге, но уж точно не как general practice.
> 
> даже если забыть о существовании PHP, и любого другого уязвимого
> софта на сервере - есть и другие причины, почему не стоит делать
> каталог с логами nginx по умолчанию all users / world readable:
> 
> в отладочный лог nginx пишет в кодировка base64 login/password
> от auth_basic модуля, и если на сервере несколько пользователей,
> то совсем не обязательно, чтобы они могли смотреть в логе чужие пароли.
> 
> "Secure by Default" - это ведь хороший принцип настройки софта,
> единственное "неудобство" что надо будет явно указать кому необходим
> доступ к логам работы nginx путем добавления их в группу www-logs.
> 
> разве это есть правильно делать изначально уязвимую к утечкам паролей
> систему, и полагаться только на то, что администраторы об этом смогут
> самостоятельно догадаться и позакрывать эти уязвимости в permissions?
> 
> в чем я неправ?

Debug в логах - по умолчанию выключен.  И если используется 
auth_basic и администратор включает debug - то только тогда 
возникает необходимость закрытия логов.

Maxim Dounin



Подробная информация о списке рассылки nginx-ru