unit-0.2 beta release

Maksim Kulik kulmaks на gmail.com
Пт Окт 20 13:58:26 UTC 2017


Нуууу... в таком случае unit и писать не надо. Это ж будет один
мастер-процесс, который будет работать под рутом и иметь доступ к данным
вообще всех сайтов. Проблема слегка преувеличена и, если бы все были
настолько параноидальными в безопасности - мы бы до сих пор не увидели
систем виртуализации, т.к. во всех таких системах есть тот, кто имеет
доступ ко всем виртуалкам одновременно и в нем 100% есть ошибки, которые
потенциально могут позволить получить доступ к нему из виртуальной среды,
ну а там уже и ко всему серверу.

P.S. Я не утверждаю, что это правильный подход, но ради
быстродействия/удобства/цены можно в некоторых случаях снизить планку
безопасности.


> Это достаточно самоочевидно для любого, кто немного интересуется
> безопасностью.
> Ну и для програмистов эдак начиная примерно с 15+ лет опыта. Но лучше 20+.
> В общем когда приходит понимание, что программ без ошибок не бывает.
> Тогда доходит и мысль о том, что общий мастер-процесс на всех должен
> иметь возможность читать конфиг принадлежащий любому пользователю и
> перезапускать пул(ы) от любого пользовательского UID, а это уже есть
> некторая дыра, т.к. он получается должен быть рутовым.
> В модели отдельного мастера на пользователя он после запуска
> безвозвратно дропает свои привелегии и эта схема в целом меньше
> подвержена протечкам.
> _______________________________________________
> nginx-ru mailing list
> nginx-ru на nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>
----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20171020/0f198c46/attachment-0001.html>


Подробная информация о списке рассылки nginx-ru