/var/log/nginx

[Pavel V.]

Здравствуйте, Peter.

Вы писали 14 января 2011 г., 21:03:04:

> 3. что воркер может читать и отдавать клиенту логи воркеров --- проблема
> небольшая, потому девелоперам nginx пока и не с руки заниматься по
> имплементационным соображениям, оно и понятно, ибо не для массового хостинга
> ветка 0.х задумывалась, а для внутриконторских девелоперов, к которым, как
> минимум  применим уже орг. ресурс.

Еще раз сакцентирую внимание: дело не только в логах.
Пользователь foo с неким сайтом в /web/foo/sites/foo.com/htdocs легко может
предсказать наличие файла пользователя bar в каталоге
/web/bar/sites/bar.org/htdocs/index.php , сделать на него симлинк
командой "ln -s /web/bar/sites/bar.org/htdocs/index.php
/web/foo/sites/foo.com/htdocs/static/file.txt" и запросить его
содержимое по адресу http://foo.com/static/file.txt . Получить
пароли/исходный текст/ и т д.


>> А решение есть уже давно:
>> http://www.lexa.ru/nginx-ru/msg14919.html
>> (Описание: http://www.lexa.ru/nginx-ru/msg14850.html )

> а что, запрещение FollowSymLinks не сделано? в любом случае, это не решение.

FollowSymLinks - это апач. В нем даже есть FollowSymLinksIfOwnerMatch.
Но мы говорим про nginx, и он по-умолчанию отдает(обрабатывает) файлы по ссылке.
Тот патч из рассылки как раз таки делает FollowSymLinksIfFileIsUnderDocRoot.

Так что, хотелось бы увидеть более развернутый ответ на эту тему,
побольший, чем "в любом случае, это не решение". Новое узнавать
интересно/полезно.

Спасибо.

-- 
С уважением,
 Pavel                          mailto:pavel2000 at ngs.ru