Профиль AppArmor для nginx

Экспериментальный профиль AppArmor для nginx в Ubuntu Linux

Данный профиль AppArmor предназначается тем, кто знает, что такое AppArmor и сознательно решил использовать профиль для nginx. Профиль не является законченным решением, работающим из коробки, а должен рассматриваться только как шаблон. При построении профиля молчаливо предполагалось: рабочие процессы nginx выполняются от имени www-data:www-data; файлы конфигурации nginx находятся в /etc/nginx (/etc/nginx/sites-enabled, /etc/nginx/sites-available, /etc/nginx/conf.d/*.conf, /etc/nginx/ssl); пользовательские сайты [...]

← Вернуться к полной версии записи «Профиль AppArmor для nginx»…

Автор: ; опубликовано в: Linux, nginx, Администрирование; метки: AppArmor, nginx, безопасность
21
Ноя
2009
«
»

RSS Комментарии к статье «Профиль AppArmor для nginx» (4)  »

  1. ArtRay
    Январь 21, 2010 в 13:18

    Можно более подробно, как обойтись без CAP_DAC_OVERRIDE или CAP_CHOWN с примерами конфига nginx и logrotate?

    Ответить
    • Vladimir
      Январь 26, 2010 в 04:35

      /etc/logrotate.d/nginx.conf:

      [-]
      View Code Text
      /var/log/nginx/*.log {
          weekly
          missingok
          rotate 52
          compress
          nodelaycompress
          notifempty
          create 660 www-data root
          sharedscripts
          postrotate
              [ ! -f /var/run/nginx.pid ] || kill -USR1 `cat /var/run/nginx.pid`
          endscript
      }

      В конфиге nginx ничего не изменится, изменится только init-скрипт (который /etc/init.d/nginx): перед запуском nginx нужно проверять наличие лог-файлов (всех!) и создавать их, если их нет:

      [-]
      View Code Bash
          touch /var/log/nginx/error.log
          touch /var/log/nginx/access.log
      # Остальные файлы, на которые есть ссылки в конфиге nginx
      #...
          chmod 0660 /var/log/nginx/*.log
          chown www-data:root /var/log/nginx/*.log
      # Здесь пойдет запуск nginx
      Ответить
  2. ArtRay
    Январь 21, 2010 в 13:20

    Заготовки для php-fpm нету случайно? :)

    Ответить
    • Vladimir
      Январь 26, 2010 в 04:21

      Нет.

      С ним труднее, так как PHP-файлы могут лежать где угодно. Ну и PHP-расширениями проблема :-)

      Вообще я делал профиль для php под заказ, но на него ушла уйма времени, и заточен он был под специфическую конфигурацию.

      Ответить

Пожалуйста, не используйте эту форму для комментирования! Данная форма предназначена исключительно для ботов.

Оставить комментарий к записи «Профиль AppArmor для nginx»

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Оставляя комментарий, вы выражаете своё согласие с Правилами комментирования.

Подписаться, не комментируя

गते गते पारगते पारसंगते बोधि स्वाहा