/var/log/nginx

[Gena Makhomed]

On 15.12.2010 2:37, Maxim Dounin wrote:

>>> Проблемы же PHP нужно фиксить в рамках PHP.

>> но почему же разработчики httpd так не думают?
>> на каталог /var/log/httpd права root:root 0700

> Не надо на разработчиков Apache возводить напраслину, им своих
> проблем хватает.  Логи по умолчанию живут в
> /usr/local/(apache|apache2)/logs, каталог создаётся с umask 022.

да, не сами лично разработчики Apache,
а майнтейнеры пакета httpd в Fedora/RHEL/CentOS
там права доступа root:root 0700 /var/log/httpd

причина почему они так делают очевидна, чтобы защититься
от эскалации "PHP Local File Include Vulnerability"
до уровня "Remote Code Execution Vulnerability"

> А почему параноики ставят минимальные права, с которыми вообще
> способна работать программа, на всё, до чего дотянутся - для меня
> загадка.  Видимо, потому что параноики.

это называется "Principle of least privilege".

например, ничем и никем не ограниченный root
в классических UNIX системах привел к большому
количеству проблем с security, так что пришлось
потом изобретать системы Mandatory access control
и Role-based access control, в частности, SELinux.

> Как именно и куда именно пойдёт вся их "безопасность"
 > из-за того что администратор в результате будет вынужден
 > практически всегда быть рутом - видимо отдельный,
 > не рассматриваемый вопрос.

для административных задач необходимо иметь права root`а.

для того, чтобы анализировать логи - достаточно быть членом
специальной группы www-logs, и тогда будут доступны на чтение
логи nginx, если на /var/log/nginx права доступа nginx:www-logs 0550

в этом случае все решается легко и просто,
даже в рамках Traditional Unix permissions

-- 
Best regards,
  Gena