On 02/23/2016 05:39 PM, Martin Miksanik wrote:
Podle me tohle celkem dobre resi BaseDir v php.
Basedir je AFAIK něco, co vývojáři PHP považují za broken by design. Navíc když je to zapnuté, některé věci nefungují (tím neříkám, že se to nemá používat, jenom že to není zázračné řešení.)
Navíc tazatel - jestli jsem dobře pochopil - řeší možnost, že code execution chyba v jeho aplikaci umožní někomu udělat chmod na kód/data webu a donahrát tam vlastní soubory. Proti tomu basedir neochrání.
Jinak ja treba bezim s userama pres nginx + uwsgi(php, python, ruby), kde si muzes hrat i s vlastnim chrootem, usery tahat z DB atd. Muzes to taky cele zavrit do selinuxu, kde si prava nastavis.
Jinak -> kdyz nginx miri sam pouze na staticke soubory - nema kam uhnout Nginx keca s php-fpm ktere serviruje jen php soubory (omezeni pres chroot, basedir). Pokud si nekdo sam chmodne soubory, je to jeho pruser (pripadne aplikace), ale i tak by se k nim nemel nikdo dostat.
Tolik teorie. Od praxe se liší především v praxi, zejména když jde o Wordpress a podobné. ;-) A kdo za to pak může už je jedno, stejně se to musí řešit.
Muzes klidne funkci chmod v php zakazat :)
S tímhle přístupem (věřím, že zakázané funkce nejde znovu povolit) by to php mohl spouštět pod www-data ;-)
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list