/var/log/nginx
Gena Makhomed
gmm на csdoc.com
Вс Дек 19 14:31:08 MSK 2010
On 16.12.2010 4:04, Maxim Dounin wrote:
>>>>> А почему параноики ставят минимальные права, с которыми вообще
>>>>> способна работать программа, на всё, до чего дотянутся - для меня
>>>>> загадка. Видимо, потому что параноики.
>>>> это называется "Principle of least privilege".
>>> Я знаю, как это называется, спасибо. И очень хорошо знаю, к чему
>>> это приводит на практике.
>> вот я поэтому и задаю вопросы в этом списке рассылки, чтобы понять,
>> какие могут быть проблемы, если добавить пользователя nginx в группу
>> www-logs и поставить права доступа root:www-logs 0750 /var/log/nginx ?
> С точки зрения nginx'а - проблем не будет (ему там вообще
> достаточно x). С точки зрения администрирования - проблем почти
> не будет, если не забудете включить всех заинтересованных в группу
> www-logs.
> Но, повторюсь, я не считаю ограничение прав в данном случае
> правильным. Проблема не в правах на логи nginx'а, проблема в php
> local file include. Подобное ещё может быть как-то уместно на
> shared-хостинге, но уж точно не как general practice.
даже если забыть о существовании PHP, и любого другого уязвимого
софта на сервере - есть и другие причины, почему не стоит делать
каталог с логами nginx по умолчанию all users / world readable:
в отладочный лог nginx пишет в кодировка base64 login/password
от auth_basic модуля, и если на сервере несколько пользователей,
то совсем не обязательно, чтобы они могли смотреть в логе чужие пароли.
"Secure by Default" - это ведь хороший принцип настройки софта,
единственное "неудобство" что надо будет явно указать кому необходим
доступ к логам работы nginx путем добавления их в группу www-logs.
разве это есть правильно делать изначально уязвимую к утечкам паролей
систему, и полагаться только на то, что администраторы об этом смогут
самостоятельно догадаться и позакрывать эти уязвимости в permissions?
в чем я неправ?
--
Best regards,
Gena
Подробная информация о списке рассылки nginx-ru