Как nginx получает доступ к каталогам пользователей?

Вопросы по работе дополнительного ПО, которое можно поставить самому.

Модератор: Art.i

Re: Как nginx получает доступ к каталогам пользователей?

Сообщение jeltoesolnce » Чт авг 13, 2015 2:20 pm

Ну да, чудес не бывает. Любой может, я проверил. Нужно знать точный путь до файла.. Так организован домашний каталог пользователя. Если у Вас nginx+php_fpm - посмотрите сами - всё папки делались средствами ISPmanager - я вообще не заморачивался по поводу безопасности, считая, что должно быть всё нормально. Но вчера задумался: раз nginx спокойно ходит по домашним папкам за статикой, то вполне спокойно может ходить и везде, где захочет, для того, чтобы посмотреть. Придётся дифференцировать права - статика отдельно, скрипты - отдельно...
jeltoesolnce
 
Сообщений: 58
Зарегистрирован: Ср июл 22, 2009 12:42 pm
Откуда: г. Калинниград

Re: Как nginx получает доступ к каталогам пользователей?

Сообщение swg » Чт авг 13, 2015 2:31 pm

Не, так быть не должно. Если бы вы настраивали все сами, то могли подумать над безопасностью более детально (а не универсально). У меня никто не походит. (p.s. Apache-mpm-itk решает проблему более жестко) Более того, если конфиги nginx открыты для чтения, то DocumentRoot можно определить, а по ним уже считать все (когда-то это была дыра многих шаред-хостингов на apache, ес-но). Их тоже закрывать надо от всех.
Т.е. если вы зарегистрировались и оказались на том же сервере, где интересующий вас чужой сайт, то зная домен можно перебрать всех пользователей и получить у кого он лежит (если структура расположения директорий сайтов известна). Ну а дальше считать пароль к БД и взлом завершён.
swg
флудит форум
 
Сообщений: 2386
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov

Re: Как nginx получает доступ к каталогам пользователей?

Сообщение jeltoesolnce » Чт авг 13, 2015 2:35 pm

Да, у меня до этого так же Apache MPM-ITK стоял - я и не заботился особо...
jeltoesolnce
 
Сообщений: 58
Зарегистрирован: Ср июл 22, 2009 12:42 pm
Откуда: г. Калинниград

Re: Как nginx получает доступ к каталогам пользователей?

Сообщение swg » Чт авг 13, 2015 2:39 pm

Так если права были такие же, то проблема никуда не исчезла :)
Просто можно сделать так, что даже знание пути не поможет.
swg
флудит форум
 
Сообщений: 2386
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov

Re: Как nginx получает доступ к каталогам пользователей?

Сообщение jeltoesolnce » Чт авг 13, 2015 3:26 pm

Это-то понятно. Другое веселит: шесть лет прошло, я поменял несколько VDS, http-серверов, могу писать на паре человеческих языков и языков программирования - и я не знал, какие права на файлы у меня в папках)).
jeltoesolnce
 
Сообщений: 58
Зарегистрирован: Ср июл 22, 2009 12:42 pm
Откуда: г. Калинниград

Пред.

Вернуться в Дополнительные программы

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3