ngx_drop_privs: принцип минимальных привилегий в nginx
Забираем у nginx лишние привилегии
nginx — замечательный web-сервер, но, как и практически любой программный продукт, не свободен от ошибок, временами весьма критических. Архитектура nginx такова, что обычно имеется один привилегированный процесс (запускаемый от всемогущего root) и один или более рабочих процессов (обычно работающих от имени непривилегированного пользователя). Тем не менее, я видел конфигурации, в которых все процессы nginx работают под привилегированным [...]
← Вернуться к полной версии записи «ngx_drop_privs: принцип минимальных привилегий в nginx»…
Автор: Vladimir; опубликовано в: C/C++, Linux, nginx, Безопасность; метки: C/C++, Linux, nginx, ngx_drop_privs, безопасность23
Сен
2009
Сен
2009
Комментарии к статье «ngx_drop_privs: принцип минимальных привилегий в nginx» (3) »
Пожалуйста, не используйте эту форму для комментирования! Данная форма предназначена исключительно для ботов.
Оставить комментарий к записи «ngx_drop_privs: принцип минимальных привилегий в nginx»
गते गते पारगते पारसंगते बोधि स्वाहा
Меня зовут Владимир, я программист-фрилансер, специализирующийся на Web-программировании и програмировании под Linux.
По совместительству занимаюсь администрированием LAMP/LNMP-серверов и техническим переводом.
не проще ли сам nginx запустить в chroot?
Проще. Но права на
CAP_SYS_CHROOT,CAP_MKNOD,CAP_SYS_MODULEу мастер-процесса всё равно нужно отбирать, иначе он может выйти из chroot.Для тех, кто умеет пользоваться
bzr: самая последняя версия кода находится вbzr://bzr.sjinks.pro/ngx_drop_privs/trunk