Ahoj,
původně jsem měl napsaný detailní e-mail, ale pak jsem si řekl, že by
Vás to asi obtěžovalo číst :-D Pročetl jsem už hodně článků, přesto bych
potřeboval poradit s jednou věcí. Snažím se dosáhnout takového nastavení
nginx a php-fpm, které by bylo bezpečné, ale zároveň mi umožňovalo
snadnou úpravu souborů (přímou editaci, kopírování, mazání). Na serveru
mám cca. 10 projektů a přistupuji k němu sám (momentálně nemám potřebu
přístupu více uživatelů k souborům).
Poradíte mi, jestli je toto dobré nastavení pro "projekt1" (u dalšího by
pak byl "projekt2", atd.):
php-fpm.conf
------------------
user = projekt1
group = projekt1
...
listen.owner = www-data
listen.group = www-data
listen.mode = 0660
nginx.conf
------------------
user = www-data
(nginx součástí skupiny "projekt1")
web-root: /hosting/projekt1/web_root/* (chown ja:projekt1, chmod 640)
tpm :/hosting/projekt1/web_root/tmp/* (chown ja:projekt1, chmod 660)
Budou takto projekty dostatečně odděleny? Pokud dojde k napadení
"projektu1", nemůže nějak útočník využít přístupu nginxu k "projektu2"
(nginx bude ve skupinách všech projektů)? Jelikož php i nginx budou
využívat stejného oprávnění skupiny, nehrozí zneužití nginxu pro zápis
do složky "tmp" (teoreticky tam potřebuje zapisovat jen PHP, avšak jak
práva oddělit)?
Předpokládám, že největší zranitelností bude php (možná mylně). Je dobré
mít u projektů pro "ostatní" zcela zakázán přístup? Přemýšlel jsem totiž
i o nastavení, kde by "skupinu" tvořil php-fpm pool a jako "ostatní"
by
přistupoval nginx. To by však dle mého názoru znamenalo dát práva pro
čtení "ostatním". Tedy alespoň při mých pokusech odmítal nginx zobrazit
php stránku v případě, že index.php měl práva 640 (nginx nebyl součástí
skupiny).
Předem díky za Vaše názory případně odkazy na nějaké dobré zdroje informací.
Honza
Show replies by date