Re: internal redirect и безопасность

Nick Knutov mail at knutov.com
Sat Nov 10 15:07:22 UTC 2012 

нгинх общий (иначе зачем бы я спрашивал?), права к обсуждаемому вопросу 
отношения никакого не имеют.

(я может неправ и от этой рассылки надо просто отписаться и подписаться 
на nginx-en, или там так же?)


10.11.2012 19:38, azovmash at ukr.net пишет:
> День добрый.
>
> Если у вас nginx один общий для всех пользователей то статический
> контент должен лежать с правами +r для группы в которой состоит nginx и
> тогда он его сможет отдать и без   X-Accel-Redirect, а если у вас у
> каждого пользователя персональный nginx с правами user1:group1 то один
> пользователь не смотжет отдать контент другого пользователя через nginx.
> Хочу напомниь что для того чтоб обезопасить виртуальный хостинг
> достаточно правильно расставить права на файлы - на весь статический
> контент -rw-r----- на скрипты php а так же конфиги в который логины и
> пароли к бд и другая персональная информация rw------- на скрипты perl
> rwx------. Имеется ввиду что php через php-fpm или apaсh запускается с
> правами пользователя. Таким образом даже залив вебшел нельзя будет
> прочитать скрипты  из каталога другого пользователя.
>
>
> --
>
> icq 71006063
>
>
> --- Исходное сообщение ---
> От кого: "Nick Knutov" <mail at knutov.com>
> Кому: nginx-ru at nginx.org
> Дата: 10 ноября 2012, 14:56:12
> Тема: Re: internal redirect и безопасность
>
>
>
>     Нашел в changelog:
>
>     Изменения в nginx 0.3.8                                           09.11.2005
>
>           *) Безопасность: nginx теперь проверят URI, полученные от бэкенда в
>              строке "X-Accel-Redirect" в заголовке ответа, или в SSI файле на
>              наличие путей "/../" и нулей.
>
>     Однако неочевидно - проверяет - и что? Запрещает? А если у меня
>     нестандартный случай и надо разрешить? Или не запрещает? И как тогда
>     запретить? А как указать, что вообще делать и какую ошибку откуда отдать
>     в случае если не так, как я хочу?
>
>
>     10.11.2012 18:51, Nick Knutov пишет:
>     >http://miksir.maker.ru/?r=69
>     >
>     > "Схема редиректов вносит потенциальную дыру в безопасности
>     > масс-хостинга, о которой следует упомянуть. Речь идет о случаях, когда
>     > клиент, используя свои скрипты, может сам выдать заголовок
>     > X-Accel-Redirect.
>       Теоретически там может быть редирект на чужой файл
>     > (т.е. файл другого клиента). "
>     >
>     > Кусок конфига:
>     > location ^~ /internal_location/ {
>     >      alias /home/$user/www/$domain/;
>     >      internal;
>     > }
>     >
>     > Вопрос: можно ли запретить обработку ".." в пути в X-Accel-Redirect,
>     > чтобы исключить возможность отдать файл не из своего каталога?
>     >
>
>     --
>     Best Regards,
>     Nick Knutov
>     http://knutov.com
>     ICQ: 272873706
>     Voice: +7-904-84-23-130
>
>     _______________________________________________
>     nginx-ru mailing list
>     nginx-ru at nginx.org  <mailto:nginx-ru at nginx.org>
>     http://mailman.nginx.org/mailman/listinfo/nginx-ru
>

-- 
Best Regards,
Nick Knutov
http://knutov.com
ICQ: 272873706
Voice: +7-904-84-23-130

Подробная информация о списке рассылки nginx-ru