Re: чтение чужих файлов: не стоит патчить

Gena Makhomed gmm на csdoc.com
Пн Ноя 28 13:07:31 UTC 2011


On 28.11.2011 14:53, Dmitry E. Oboukhov wrote:

>>> таким образом ограничение на хождение по симлинкам итп - лишь
>>> сокращение удобных способов получить чужой конфиг.

>> да, это нужно для того, чтобы закрыть возможность
>> пользователям shared hosting`а получить чужой конфиг.

> но это не закрывает эту возможность. пользователи современных
> хостингов могут использовать для этой цели помимо ninx: php, perl,
> просто CGI итп

mod_perl стоит дороже, потому что в этом случае
пользователю будет выделен отдельный экземпляр апача.

если CGI скрипты запускаются с правами пользователя-владельца
файлов - он через них не сможет получить доступ к чужим файлам,
куда может доступиться только другой пользователь и веб-сервер.

>>> если этот чужой конфиг должен читать вебсервер, то единственный путь
>>> его защитить - индивидуальный а не шаред вебсервер.

>> если "индивидуальный вебсервер" - это уже не будет shared hosting.

> ну а shared hosting отдающий только статику нынче не является
> хостингом. туда никакой клиент не пойдет.

очень многие shared hosting`и для экономии ресурсов отдают статику через 
nginx напрямую, без двойного проксирования статики через апач.

> и если кто-то делает ln -s /path/to name а потом читает name как
> статику, он же может сделать:
>
>      open my $fh, '<', /path/to;
>      print "Content-Type: application/octet-stream\n\n";
>      print $_ while<$fh>;

пользователь не имеет прямого доступа к этим чужим файлам.
только nginx и apache. в apache можно закрыть "удобные пути"
получения доступа к чужим файлам, а в nginx - нет такого способа.

>>> а костыли вида "не пойдет по симлинку" - лишь закрытие одного из сотен
>>> путей

>> все остальные "удобные пути" можно закрыть корректной настройкой apache,
>> FollowSymLinks, SymLinksIfOwnerMatch, php_admin_value open_basedir
>> и корректной настройкой прав доступа к каталогам пользователей.

> Ну и как закрыть вышеприведенный путь настройкой апача? не давать
> пользователю shared-хостинга юзать динамический контент? и сколько
> пользователей будет завтра на этом хостинге?

наверное этот вопрос про апач Вам следует задать в списке рассылки
для пользователей дебиана. думаю, что там есть и те, кто знает ответ
на этот Ваш вопрос. в этом списке рассылки по nginx вопросы корректной
настройки apache+php для shared hosting`а наверное являются оффтопиком.

-- 
Best regards,
  Gena



Подробная информация о списке рассылки nginx-ru