/var/log/nginx

Pavel V. pavel2000 на ngs.ru
Вс Янв 9 23:39:33 MSK 2011


Здравствуйте, Gena.

Вы писали 6 января 2011 г., 16:38:36:

> On 19.12.2010 23:02, Maxim Dounin wrote:

>>>>>>>> А почему параноики ставят минимальные права, с которыми вообще
>>>>>>>> способна работать программа, на всё, до чего дотянутся - для меня
>>>>>>>> загадка. Видимо, потому что параноики.

> и еще, как быть с тем, что по умолчанию nginx создает лог-файлы
> доступные на чтение worker-процессам nginx ? и если на сервере
> mass virtual hosting и пользователи имеют доступ к своим каталогам
> по ssh, то они могут создать симлинк на /var/log/nginx/error.log
> и таким образом получить через http содержимое системного файла
> error.log и вообще access.log любого из сайтов расположенных
> на сервере. может быть лучше сделать так, чтобы лог-файлы
> nginx были доступны worker-процессам nginx только на запись?
> это ведь никому не будет мешать и не создаст неудобств... ?

> тем более, что сам nginx всегда эти лог-файлы открывает
> только для append, и никогда не открывает их на чтение.

> патчи в аттаче.

В обсуждении забывается тот аспект безопасности, что в случае "mass hosting"
пользователи получат не только доступ к системным логам, но и к файлам
других пользователей, в том числе хранящих доступы к БД, и другую информацию
подобного рода.

Что мы видим в результате ? Попытки лечения "симптомов" в виде
смены прав на лог-файлы и т п...      :-)

А решение есть уже давно:
http://www.lexa.ru/nginx-ru/msg14919.html
(Описание: http://www.lexa.ru/nginx-ru/msg14850.html )

Как-то так...

-- 
С уважением,
 Pavel                          mailto:pavel2000 at ngs.ru




Подробная информация о списке рассылки nginx-ru