Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: /var/log/nginx
On 14.12.2010 23:45, Igor Sysoev wrote:
On Tue, Dec 14, 2010 at 09:59:10PM +0200, Gena Makhomed wrote:
On 14.12.2010 20:51, Maxim Dounin wrote:
...
Права на каталог с логами root:wheel 755 - хорошие, годные
...
а результате при httpd + php - уязвимости нет,
а при nginx + httpd + php - уязвимость есть...
А как бы со случаем http://site.ru/index.php?file=/etc/passwd ?
если кто-то удаленно сможет прочитать содержимое файла /etc/passwd
- в этом нет большой проблемы, потому что там ничего секретного нет.
гораздо опаснее ситуация, когда "PHP Local File Include Vulnerability"
почти тривиально превращается в "Remote Code Execution Vulnerability"
$ curl -A "<? exec( 'echo line1 > /tmp/1.c' ); ?>" http://site.ru/
$ curl -A "<? exec( 'echo line2 >> /tmp/1.c' ); ?>" http://site.ru/
$ curl -A "<? exec( 'echo lineN >> /tmp/1.c' ); ?>" http://site.ru/
$ curl http://site.ru/index.php?file=/var/log/nginx/access.log
только потому что на каталог /var/log/nginx
установлены права доступа root:wheel 0755
наверное лучше всего будет такой вариант:
права доступа nginx:www-logs 0550, лог-файлы master-процесс
без проблем сможет создать, имея права root`а, worker-процессы
с правами nginx, смогут прочитать этот каталог и открыть на запись
уже существующие в нем лог-файлы с правами доступа nginx:root 0644
и кроме того, только те пользователи, которые явно входят в группу
www-logs смогут прочитать содержимое лог-файлов для анализа и т.п.
--
Best regards,
Gena
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru
|
