[vpsFree.cz: community-list] php-fpm user/group

Jirka Bourek vpsfree-list at keroub.cz
Tue Feb 23 17:57:49 CET 2016


On 02/23/2016 05:39 PM, Martin Miksanik wrote:
> Podle me tohle celkem dobre resi BaseDir v php.

Basedir je AFAIK něco, co vývojáři PHP považují za broken by design. 
Navíc když je to zapnuté, některé věci nefungují (tím neříkám, že se to 
nemá používat, jenom že to není zázračné řešení.)

Navíc tazatel - jestli jsem dobře pochopil - řeší možnost, že code 
execution chyba v jeho aplikaci umožní někomu udělat chmod na kód/data 
webu a donahrát tam vlastní soubory. Proti tomu basedir neochrání.

> Jinak ja treba bezim s userama pres nginx + uwsgi(php, python, ruby), kde
> si muzes hrat i s vlastnim chrootem, usery tahat z DB atd.
> Muzes to taky cele zavrit do selinuxu, kde si prava nastavis.
>
> Jinak -> kdyz nginx miri sam pouze na staticke soubory - nema kam uhnout
> Nginx keca s php-fpm ktere serviruje jen php soubory (omezeni pres chroot,
> basedir). Pokud si nekdo sam chmodne soubory, je to jeho pruser (pripadne
> aplikace), ale i tak by se k nim nemel nikdo dostat.

Tolik teorie. Od praxe se liší především v praxi, zejména když jde o 
Wordpress a podobné. ;-) A kdo za to pak může už je jedno, stejně se to 
musí řešit.

> Muzes klidne funkci chmod v php zakazat :)

S tímhle přístupem (věřím, že zakázané funkce nejde znovu povolit) by to 
php mohl spouštět pod www-data ;-)

>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>



More information about the Community-list mailing list