/var/log/nginx

Alexey V. Karagodov kav на karagodov.name
Ср Дек 15 22:50:54 MSK 2010


изолируйте каждый vhost 
jail в бздях 
что-то там ещё в солярках 
что-то своё в других системах 
и тд 
минимум каждому клиенту - свой VPS 
так вы защититесь от разгилдяев-девелоперов софта и приложений 
в схеме "задумка заказчика - браузер клиента" очень много составляющих, на всех не угодишь 
делать защиту от всех дураков на одном сервере весьма накладно, очень голова болит и безуспешно 

так решите вопрос другим путём 

в итоге - "дырка" в затребованном заказчиком апаче/IIS/что угодно+php/perl/.net(прости господи)/что угодно или дыра в коде сайта == проблема и ответственность заказчика - владельца VPS 

если у вас много клиентов или сайтов или чего угодно, проще потратить бабоса на профессиональную систему управления VPS-ами/хостингом ну или что вы там задумали 
ну или сделать свою на базе какой нить фриварной 

On 15.12.2010, at 22:37, Gena Makhomed wrote:

> On 15.12.2010 2:37, Maxim Dounin wrote:
> 
>>>> Проблемы же PHP нужно фиксить в рамках PHP.
> 
>>> но почему же разработчики httpd так не думают?
>>> на каталог /var/log/httpd права root:root 0700
> 
>> Не надо на разработчиков Apache возводить напраслину, им своих
>> проблем хватает.  Логи по умолчанию живут в
>> /usr/local/(apache|apache2)/logs, каталог создаётся с umask 022.
> 
> да, не сами лично разработчики Apache,
> а майнтейнеры пакета httpd в Fedora/RHEL/CentOS
> там права доступа root:root 0700 /var/log/httpd
> 
> причина почему они так делают очевидна, чтобы защититься
> от эскалации "PHP Local File Include Vulnerability"
> до уровня "Remote Code Execution Vulnerability"
> 
>> А почему параноики ставят минимальные права, с которыми вообще
>> способна работать программа, на всё, до чего дотянутся - для меня
>> загадка.  Видимо, потому что параноики.
> 
> это называется "Principle of least privilege".
> 
> например, ничем и никем не ограниченный root
> в классических UNIX системах привел к большому
> количеству проблем с security, так что пришлось
> потом изобретать системы Mandatory access control
> и Role-based access control, в частности, SELinux.
> 
>> Как именно и куда именно пойдёт вся их "безопасность"
> > из-за того что администратор в результате будет вынужден
> > практически всегда быть рутом - видимо отдельный,
> > не рассматриваемый вопрос.
> 
> для административных задач необходимо иметь права root`а.
> 
> для того, чтобы анализировать логи - достаточно быть членом
> специальной группы www-logs, и тогда будут доступны на чтение
> логи nginx, если на /var/log/nginx права доступа nginx:www-logs 0550
> 
> в этом случае все решается легко и просто,
> даже в рамках Traditional Unix permissions
> 
> -- 
> Best regards,
> Gena
> 
> 
> _______________________________________________
> nginx-ru mailing list
> nginx-ru at nginx.org
> http://nginx.org/mailman/listinfo/nginx-ru



Подробная информация о списке рассылки nginx-ru