[vpsFree.cz: community-list] php-fpm user/group
Ghormoon
ghormoon at gmail.com
Tue Feb 23 18:14:22 CET 2016
Imho blacklistovat funkci je spatny pristup. Mas veci jako exec a buhvi co
jeste - vzdycky muzes na neco zapomenout. Blacklist jako jedina seciruty
featura nestaci, musis tam mit nejakou obecnou.
On Feb 23, 2016 5:59 PM, "Jirka Bourek" <vpsfree-list at keroub.cz> wrote:
> On 02/23/2016 05:39 PM, Martin Miksanik wrote:
>
>> Podle me tohle celkem dobre resi BaseDir v php.
>>
>
> Basedir je AFAIK něco, co vývojáři PHP považují za broken by design. Navíc
> když je to zapnuté, některé věci nefungují (tím neříkám, že se to nemá
> používat, jenom že to není zázračné řešení.)
>
> Navíc tazatel - jestli jsem dobře pochopil - řeší možnost, že code
> execution chyba v jeho aplikaci umožní někomu udělat chmod na kód/data webu
> a donahrát tam vlastní soubory. Proti tomu basedir neochrání.
>
> Jinak ja treba bezim s userama pres nginx + uwsgi(php, python, ruby), kde
>> si muzes hrat i s vlastnim chrootem, usery tahat z DB atd.
>> Muzes to taky cele zavrit do selinuxu, kde si prava nastavis.
>>
>> Jinak -> kdyz nginx miri sam pouze na staticke soubory - nema kam uhnout
>> Nginx keca s php-fpm ktere serviruje jen php soubory (omezeni pres chroot,
>> basedir). Pokud si nekdo sam chmodne soubory, je to jeho pruser (pripadne
>> aplikace), ale i tak by se k nim nemel nikdo dostat.
>>
>
> Tolik teorie. Od praxe se liší především v praxi, zejména když jde o
> Wordpress a podobné. ;-) A kdo za to pak může už je jedno, stejně se to
> musí řešit.
>
> Muzes klidne funkci chmod v php zakazat :)
>>
>
> S tímhle přístupem (věřím, že zakázané funkce nejde znovu povolit) by to
> php mohl spouštět pod www-data ;-)
>
>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>>
>> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20160223/80dca77a/attachment-0002.html>
More information about the Community-list
mailing list