ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: /var/log/nginx



изолируйте каждый vhost 
jail в бздях 
что-то там ещё в солярках 
что-то своё в других системах 
и тд 
минимум каждому клиенту - свой VPS 
так вы защититесь от разгилдяев-девелоперов софта и приложений 
в схеме "задумка заказчика - браузер клиента" очень много составляющих, на всех 
не угодишь 
делать защиту от всех дураков на одном сервере весьма накладно, очень голова 
болит и безуспешно 

так решите вопрос другим путём 

в итоге - "дырка" в затребованном заказчиком апаче/IIS/что 
угодно+php/perl/.net(прости господи)/что угодно или дыра в коде сайта == 
проблема и ответственность заказчика - владельца VPS 

если у вас много клиентов или сайтов или чего угодно, проще потратить бабоса на 
профессиональную систему управления VPS-ами/хостингом ну или что вы там 
задумали 
ну или сделать свою на базе какой нить фриварной 

On 15.12.2010, at 22:37, Gena Makhomed wrote:

> On 15.12.2010 2:37, Maxim Dounin wrote:
> 
>>>> Проблемы же PHP нужно фиксить в рамках PHP.
> 
>>> но почему же разработчики httpd так не думают?
>>> на каталог /var/log/httpd права root:root 0700
> 
>> Не надо на разработчиков Apache возводить напраслину, им своих
>> проблем хватает.  Логи по умолчанию живут в
>> /usr/local/(apache|apache2)/logs, каталог создаётся с umask 022.
> 
> да, не сами лично разработчики Apache,
> а майнтейнеры пакета httpd в Fedora/RHEL/CentOS
> там права доступа root:root 0700 /var/log/httpd
> 
> причина почему они так делают очевидна, чтобы защититься
> от эскалации "PHP Local File Include Vulnerability"
> до уровня "Remote Code Execution Vulnerability"
> 
>> А почему параноики ставят минимальные права, с которыми вообще
>> способна работать программа, на всё, до чего дотянутся - для меня
>> загадка.  Видимо, потому что параноики.
> 
> это называется "Principle of least privilege".
> 
> например, ничем и никем не ограниченный root
> в классических UNIX системах привел к большому
> количеству проблем с security, так что пришлось
> потом изобретать системы Mandatory access control
> и Role-based access control, в частности, SELinux.
> 
>> Как именно и куда именно пойдёт вся их "безопасность"
> > из-за того что администратор в результате будет вынужден
> > практически всегда быть рутом - видимо отдельный,
> > не рассматриваемый вопрос.
> 
> для административных задач необходимо иметь права root`а.
> 
> для того, чтобы анализировать логи - достаточно быть членом
> специальной группы www-logs, и тогда будут доступны на чтение
> логи nginx, если на /var/log/nginx права доступа nginx:www-logs 0550
> 
> в этом случае все решается легко и просто,
> даже в рамках Traditional Unix permissions
> 
> -- 
> Best regards,
> Gena
> 
> 
> _______________________________________________
> nginx-ru mailing list
> nginx-ru@xxxxxxxxx
> http://nginx.org/mailman/listinfo/nginx-ru

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.