ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: /var/log/nginx



On 15.12.2010 2:37, Maxim Dounin wrote:

Проблемы же PHP нужно фиксить в рамках PHP.

но почему же разработчики httpd так не думают?
на каталог /var/log/httpd права root:root 0700

Не надо на разработчиков Apache возводить напраслину, им своих
проблем хватает.  Логи по умолчанию живут в
/usr/local/(apache|apache2)/logs, каталог создаётся с umask 022.

да, не сами лично разработчики Apache,
а майнтейнеры пакета httpd в Fedora/RHEL/CentOS
там права доступа root:root 0700 /var/log/httpd

причина почему они так делают очевидна, чтобы защититься
от эскалации "PHP Local File Include Vulnerability"
до уровня "Remote Code Execution Vulnerability"

А почему параноики ставят минимальные права, с которыми вообще
способна работать программа, на всё, до чего дотянутся - для меня
загадка.  Видимо, потому что параноики.

это называется "Principle of least privilege".

например, ничем и никем не ограниченный root
в классических UNIX системах привел к большому
количеству проблем с security, так что пришлось
потом изобретать системы Mandatory access control
и Role-based access control, в частности, SELinux.

Как именно и куда именно пойдёт вся их "безопасность"
> из-за того что администратор в результате будет вынужден
> практически всегда быть рутом - видимо отдельный,
> не рассматриваемый вопрос.

для административных задач необходимо иметь права root`а.

для того, чтобы анализировать логи - достаточно быть членом
специальной группы www-logs, и тогда будут доступны на чтение
логи nginx, если на /var/log/nginx права доступа nginx:www-logs 0550

в этом случае все решается легко и просто,
даже в рамках Traditional Unix permissions

--
Best regards,
 Gena


_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.