HACK NGINX+DAV
Валентин Бартенев
vbart на nginx.com
Вс Дек 4 11:31:06 UTC 2016
On Sunday 04 December 2016 11:01:42 Gena Makhomed wrote:
> On 04.12.2016 9:08, itcod wrote:
>
> > Меня попросили подтвердить слова о баге который я описал в первом посте.
> > Заснял процесс переименования и удаления папки владельца root, гипотетически
> > не имея на это прав.
> > Использовались WEBDAV команды MOVE и DELETE которые формировал BitKinex.
>
> Каталог TEST имеет владельца nginx:nginx и права 755,
> следовательно внутри этого каталога nginx имеет право удалять
> и переименовывать любые файлы и каталоги, даже с правами доступа root.
>
> Тот же самый трюк можно повторить и с помощью mc или bash,
> если запустить его с правами nginx.
>
> > ps: не вошли в ролик тесты с командой COPY хотя там тоже таже проблема.
>
> В UNIX "файл" и "имя файла" - это две разные сущности. :)
>
> Для общего развития, рекомендую: https://habrahabr.ru/post/53048/
>
Совершенно верно. Человек просто не владеет базовыми знаниями и
нормальное поведение в данных условиях принимает за ошибку.
Права доступа в *nix системах работают не так, как это представляется
автору топика.
В связи с этим рекомендую к прочтению:
http://www.funtoo.org/Linux_Fundamentals,_Part_3
На хабре есть перевод:
https://habrahabr.ru/post/109392/
--
Валентин Бартенев
Подробная информация о списке рассылки nginx-ru