Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Аналог htaccess

To: nginx-ru@xxxxxxxxx
Subject: Re: Аналог htaccess
From: Alexandre Snarskii <snar@xxxxxxxxxxx>
Date: Fri, 23 Sep 2011 14:32:20 +0400
In-reply-to: <4E7B0842.10809@xxxxxxxxx>
References: <7a41dcc730685d0bdc23b727e1ced3d4.NginxMailingListRussian@xxxxxxxxxxxxxxx> <CAOVcEuxTA9WTnwks_qgdbWZ3bgySRFOnuZYURsPPz8UL31=V9Q@xxxxxxxxxxxxxx> <4E7AFF69.5050500@xxxxxxxxx> <4E7B0126.5070500@xxxxxx> <4E7B0842.10809@xxxxxxxxx>

On Thu, Sep 22, 2011 at 01:04:50PM +0300, Gena Makhomed wrote:
> On 22.09.2011 12:34, Андрей Василишин wrote:
> 
> >>>Используйте связку nginx+apache. Статику по возможности отдавайте
> >>>нжинксом, все остальное проксируйте на апач. Получите приемлемую
> >>>скорость работы и поддержку htaccess-ов.
> 
> >>а также в качестве бонуса:
> 
> >>возможность любому пользователю хостинга скачать с сервера любой файл,
> >>к которому имеет доступ на чтение nginx (в том числе и файл config.php
> >>с паролями и настройками любого другого пользователя этого же хостинга)
> 
> >Расскажите как, если все кроме картинок будет проксироваться на апач?
> 
> на POSIX-совместимых операционных системах вот таким способом:
> 
> чужой файл, к которому есть доступ только у user1 и nginx:
> 
> /home/user1/example.com/htdocs/config.php
> 
> "взломщик" сервера user2 создает у себя симлинк:
> 
> /home/user2/example.org/htdocs/config.jpg
> 
> который указывает на /home/user1/example.com/htdocs/config.php
> 
> после чего - он у себя на локальной мащине запускает команду
> 
> wget http://example.org/config.jpg
> 
> и получает копию файла config.php чужого сайта example.com
> к которому у него нет прямого доступа через ssh или ftp.
> 
> если операционная система на сервере не является POSIX-совместимой,
> например, у нее нет поддержки симлинков, то этой уязвимости не будет.
> 
> решение проблемы:
> 
> - или отдельный OpenVZ контейнер каждому пользователю хостинга
> - или отдельный nginx каждому пользователю под его учетной записью
> - или написать аналог mod_aclr для второго апача и работать через него

- или написать дополнительную директиву конфигурации, которая позволит 
на уровне location добавлять в open(2) флаг O_NOFOLLOW ? 

PS: у меня shared hosting'а нет, так что с меня только идея ;) 

PPS: а еще в правильных операционных системах ключик nosymfollow
может быть выставлен на уровне mount(8)/fstab(5).  

-- 
In theory, there is no difference between theory and practice. 
But, in practice, there is. 

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Follow-Ups:
- Re: Аналог htaccess
  - From: Gena Makhomed

References:
- Аналог htaccess
  - From: adiunov
- Re: Аналог htaccess
  - From: D StarK
- Re: Аналог htaccess
  - From: Gena Makhomed
- Re: Аналог htaccess
  - From: Андрей Василишин
- Re: Аналог htaccess
  - From: Gena Makhomed

Prev by Date: Re: proxy cache stampede
Next by Date: игнорирование Set-Cookie для pro xy cache
Previous by thread: Re[2]: Аналог htaccess
Next by thread: Re: Аналог htaccess
Index(es):
- Date
- Thread