/var/log/nginx
Igor Sysoev
igor на sysoev.ru
Ср Дек 15 00:45:39 MSK 2010
On Tue, Dec 14, 2010 at 09:59:10PM +0200, Gena Makhomed wrote:
> On 14.12.2010 20:51, Maxim Dounin wrote:
>
> > Права на каталог с логами root:wheel 755 - хорошие, годные (только
> > нужно не забывать при вращении создавать файлы с owner'ом nginx
> > перед USR1, а то воркеры останутся без логов).
>
> и еще при этом, как минимум, нельзя будет
> устанавливать working_directory /var/log/nginx;
А зачем делать working directory в каталоге с логами ?
working_directory нужно для корок и всё.
> наверное придется остановиться на варианте частичного
> решения root:nginx 0750 - как это сделано в ALT Linux.
>
> хотя лучше nginx:wheel 0550 - тогда только root сможет
> создавать лог-файлы, а читать каталог - nginx и wheel.
>
> > Проблемы же PHP нужно фиксить в рамках PHP.
>
> но почему же разработчики httpd так не думают?
> на каталог /var/log/httpd права root:root 0700
Потому что httpd не умеет переоткрывать логи мгновенно.
Только медленно и печально.
> а результате при httpd + php - уязвимости нет,
> а при nginx + httpd + php - уязвимость есть...
А как бы со случаем http://site.ru/index.php?file=/etc/passwd ?
--
Игорь Сысоев
http://sysoev.ru
Подробная информация о списке рассылки nginx-ru