Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: /var/log/nginx

To: nginx-ru@xxxxxxxxx
Subject: Re: /var/log/nginx
From: Gena Makhomed <gmm@xxxxxxxxx>
Date: Thu, 16 Dec 2010 13:11:46 +0200
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=csdoc.com; s=dkim; t=1292497906; bh=cLNt+/LrDC4dKMTnTDUfklN5cygpJvXVm9ukcpTdFOg=; h=Message-ID:Date:From:MIME-Version:To:Subject:References: In-Reply-To:Content-Type:Content-Transfer-Encoding; b=Bu7FrIK1nkJHbIl5bEvcgNpCDaQLkascnigAGq3dyBthf4YEFx8pniWaf24zW/ZOP T1FuXA5gpQ92U6gSbWeSOFB+n5vYQGjvFiLFDiw8KTIVosEDPX0y4HcHaP7Z+w0C75 yBmaBVDcLpZdu/3noDXZfxFh4xwJQLifnvX3xrOQ=
In-reply-to: <20101216020449.GL1084@xxxxxxxxxx>
References: <4D07B1EE.6070908@xxxxxxxxx> <20101214185153.GD1084@xxxxxxxxxx> <4D07CC8E.9050503@xxxxxxxxx> <20101215003700.GE1084@xxxxxxxxxx> <4D0918F5.2090706@xxxxxxxxx> <20101215222341.GJ1084@xxxxxxxxxx> <4D094F04.1020507@xxxxxxxxx> <20101216020449.GL1084@xxxxxxxxxx>

On 16.12.2010 4:04, Maxim Dounin wrote:

Этот софт или exploitable, или нет.
Если exploitable - надо лечить.


любой софт exploitable, см. например, CVE-2009-2629
поэтому хочется иметь более удобные средства чем ifconfig eth0 down
пока все ошибки/exploits в софте не будут найдены и полностью исправлены

Не говоря уже о том, что средств ограничить php в том, до каких
файлов он вообще сможет добраться - море, начиная от классического
chroot  и заканчивая php'шным же open_basedir.


в это море средств, ограничивающих PHP в том, до каких файлов он вообще
может добраться, использование "Traditional Unix permissions" входит?
это ведь проще и удобнее, чем создавать для тех же целей chroot/jail.

защита open_basedir имеет смысл только в том случае,
если PHP не имеет права выполнять внешние программы.
если имеет, то ограничение open_basedir легко обходится.

Опять же - какую проблему решаем?  Заткнуть простую эскалацию "php
local file include ..." в remote code execution?  Тогда
open_basdir снимет часть головной боли, не заставляя ставить
ужасные права на всё что попало.


некоторый софт на PHP для своей нормальной работы
требует чтобы ограничение open_basdir был выключено в настройках.
кода внутри очень много и там могут быть уязвимости "local file include"

какие могут быть проблемы, если добавить пользователя nginx в группу
www-logs и поставить права доступа root:www-logs 0750 /var/log/nginx ?

С точки зрения nginx'а - проблем не будет (ему там вообще
достаточно x).  С точки зрения администрирования - проблем почти
не будет, если не забудете включить всех заинтересованных в группу
www-logs.


Ok, спасибо. не забуду.

Но, повторюсь, я не считаю ограничение прав в данном случае
правильным.  Проблема не в правах на логи nginx'а, проблема в php
local file include.  Подобное ещё может быть как-то уместно на
shared-хостинге, но уж точно не как general practice.


"Principle of least privilege" - это "important design guideline",
даже если вместо PHP используется Python или Perl - может быть
эскалация прав 0755 до "Information Disclosure Vulnerability".

надежнее и проще будет сразу закрыть всем посторонним доступ
к логам работы nginx, чем надеяться на то, что во всем остальном
софте на сервере нет ошибок и нет уязвимостей "local file include".

--
Best regards,
 Gena


_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru

Follow-Ups:
- Re: /var/log/nginx
  - From: Alexander Kardailsky

References:
- /var/log/nginx
  - From: Gena Makhomed
- Re: /var/log/nginx
  - From: Maxim Dounin
- Re: /var/log/nginx
  - From: Gena Makhomed
- Re: /var/log/nginx
  - From: Maxim Dounin
- Re: /var/log/nginx
  - From: Gena Makhomed
- Re: /var/log/nginx
  - From: Maxim Dounin
- Re: /var/log/nginx
  - From: Gena Makhomed
- Re: /var/log/nginx
  - From: Maxim Dounin

Prev by Date: ssi include и заголовок родител ьского запроса.
Next by Date: Re: /var/log/nginx
Previous by thread: Re: /var/log/nginx
Next by thread: Re: /var/log/nginx
Index(es):
- Date
- Thread