ПРОЕКТЫ 

  АРХИВ 

Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 

  ПЕРСОНАЛЬНОЕ 

  ПРОГРАММЫ 

ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Вопросы безопасно сти.

  • To: nginx-ru@xxxxxxxxx
  • Subject: Re: Вопросы безопасно сти.
  • From: Sergej Kandyla <sk.paix@xxxxxxxxx>
  • Date: Wed, 25 Feb 2009 13:08:58 +0200
  • Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:received:received:message-id:date:from :user-agent:mime-version:to:subject:references:in-reply-to :content-type:content-transfer-encoding; bh=xDJPpbVFU1/Jl3yENSiWo/yvpM5seT7vEdpgXZOMTxQ=; b=QQ6l7lOTNaznf74fhc0hiZ/BaDe4q6awLcQltIe7OtJHEXYMmkiouqJCr8jmbLJTa8 BQSiMQPDxZVZ/7efBqrtp2P62UhYlt+hzqh4Rwo67I4T2CMpmmkln3O0LUgs5rQLZtpi OlIwrGdJP8c0M125M3zxYkeQ1LTGVgEwiF/KQ=
  • Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=message-id:date:from:user-agent:mime-version:to:subject:references :in-reply-to:content-type:content-transfer-encoding; b=DReppuuNdK2JQTS7AdofVmZUEDgVLwjGKAUIX6lSaA5avPqcw51H+qfbPelM/lSMmr 1LQAjM9hzx2W6mlzlxaKv91Vujyb9TrHyAasPzxCUIdosfOeqBXaZi09/ni+9oWjP842 5jzzkwGtDuxcxz4Oc3GNaaXIRiq8crdwRcJ5s=
  • In-reply-to: <19A28730B233404DBBB1F5B300D3D985@maxhl>
  • References: <19A28730B233404DBBB1F5B300D3D985@maxhl>
maxhl@xxxxxxxxxxxxxx пишет:

День добрый.

        Использую связку nginx & php-fpm. И недавно возникла необходимость
ограничить возможность доступа пользователей к домашним каталогам друг
друга. В ftp есть chroot, но в php скриптах ограничить неполучается. Вариант
с произвольными именами домашних каталогов и невозможностью сделать ls в
/home тоже неотчень нравится (ssh у них есть но шел passwd). safe_mode в php
включать не хочется из-за возможных проблем со скриптами. Вариант запустить
каждому пользователю копию php-fpm с его user:group вероятно наиболее
оптимален ... Что еще можно сделать?
для каждого пользователя запускать свой пул php-fpm. При этом последний будет работать с правами указанного пользователя. В конфиге php-fpm указать ограничения open_basedir, disabled functions, etc...
еще один совет - держать php последней патченной версии. В случае с fpm, это правда будет чтото в духе current., увы... 

PS. chroot изначально не предназначался для усиления безопаности.
С уважением Max. 

maxhl@xxxxxxxxxxxxxx 71006063

 



Copyright © Lexa Software, 1996-2009.