<html>
<body>
<p>День добрый.<p>Если у вас nginx один общий для всех пользователей то статический контент должен лежать с правами +r для группы в которой состоит nginx и тогда он его сможет отдать и без X-Accel-Redirect, а если у вас у каждого пользователя персональный nginx с правами user1:group1 то один пользователь не смотжет отдать контент другого пользователя через nginx. Хочу напомниь что для того чтоб обезопасить виртуальный хостинг достаточно правильно расставить права на файлы - на весь статический контент -rw-r----- на скрипты php а так же конфиги в который логины и пароли к бд и другая персональная информация rw------- на скрипты perl rwx------. Имеется ввиду что php через php-fpm или apaсh запускается с правами пользователя. Таким образом даже залив вебшел нельзя будет прочитать скрипты из каталога другого пользователя. <br />
<p>
<br />
<p>--<br />
<p>icq 71006063<p>
<br />
<div> --- Исходное сообщение ---<br /> От кого: "Nick Knutov" <mail@knutov.com><br /> Кому: nginx-ru@nginx.org<br /> Дата: 10 ноября 2012, 14:56:12<br /> Тема: Re: internal redirect и безопасность<br /> </div>
<br />
<br />
<br />
<blockquote class="ukr_editor_quotation" style="border-left: 1px solid rgb(204, 204, 204); margin: 0px 0px 0px 0.8ex; padding-left: 1ex;"><pre>
Нашел в changelog:<br /><br />Изменения в nginx 0.3.8 09.11.2005<br /><br /> *) Безопасность: nginx теперь проверят URI, полученные от бэкенда в<br /> строке "X-Accel-Redirect" в заголовке ответа, или в SSI файле на<br /> наличие путей "/../" и нулей.<br /><br />Однако неочевидно - проверяет - и что? Запрещает? А если у меня <br />нестандартный случай и надо разрешить? Или не запрещает? И как тогда <br />запретить? А как указать, что вообще делать и какую ошибку откуда отдать <br />в случае если не так, как я хочу?<br /><br /><br />10.11.2012 18:51, Nick Knutov пишет:<br />> <a href="http://miksir.maker.ru/?r=69" target="_blank">http://miksir.maker.ru/?r=69</a><br />><br />> "Схема редиректов вносит потенциальную дыру в безопасности<br />> масс-хостинга, о которой следует упомянуть. Речь идет о случаях, когда<br />> клиент, используя свои скрипты, может сам выдать заголовок<br />> X-Accel-Redirect. Теоретически там может быть редирект на чужой файл<br />> (т.е. файл другого клиента). "<br />><br />> Кусок конфига:<br />> location ^~ /internal_location/ {<br />> alias /home/$user/www/$domain/;<br />> internal;<br />> }<br />><br />> Вопрос: можно ли запретить обработку ".." в пути в X-Accel-Redirect,<br />> чтобы исключить возможность отдать файл не из своего каталога?<br />><br /><br />-- <br />Best Regards,<br />Nick Knutov<br /><a href="http://knutov.com" target="_blank">http://knutov.com</a><br />ICQ: 272873706<br />Voice: +7-904-84-23-130<br /><br />_______________________________________________<br />nginx-ru mailing list<br /><a href="mailto:nginx-ru@nginx.org" target="_self">nginx-ru@nginx.org</a><br /><a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a>
</pre> </blockquote>
</body>
</html>