Re: Защита от шелов
точнее шелл правильно показывает высшую папку, как сервер рут и папку с сайтом, как документ рут. Но как сделать open_basedir?Хостинг Ру-Центр. 18.08.2013, 10:30, "Русанов Олег" lavan...@ya.ru:Здравствуйте. Есть ли способ предотвратить просматривать шелом другие сайты на виртуальном хосте?В конфиге сайта рут - папка где index.php, а шелл показывает, что root - это папка где все сайты находятся.Может быть в этом дело? -- С уважением,Олег Русанов.,___nginx-ru mailing listnginx-ru@nginx.orghttp://mailman.nginx.org/mailman/listinfo/nginx-ru -- С уважением,Олег Русанов. ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: Защита от шелов
Вам нужно добиться, чтобы php-скрипты запускались с правами пользователя, которому принадлежит сайт. На остальные сайты соответственно поставите права 0750 а апача и nginx добавите в группу пользователя, чтобы они могли читать файлы. Как добиться? Разные способы есть. Например использование вместо mod_php для PHP режимов suexec или fastCGI. Есть ещё и всякие модули к апачу типа mod_suid, mod_ruid которые работают совместно с mod_php. 18 августа 2013 г., 10:29 пользователь Русанов Олег lavan...@ya.ruнаписал: Здравствуйте. Есть ли способ предотвратить просматривать шелом другие сайты на виртуальном хосте? В конфиге сайта рут - папка где index.php, а шелл показывает, что root - это папка где все сайты находятся. Может быть в этом дело? -- С уважением, Олег Русанов. ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: Защита от шелов
Это слишком сложно, как я это сделаю на хостинге Ру-Центра? В конфиг Апача не помогает:Directory /home/идентификатор/домен/docsphp_admin_value open_basedir /home/идентификатор/домен/docsphp_admin_value upload_tmp_dir /home/идентификатор/домен/docs/tmp/Directoryможет это надо как-то в конфиг Энджиникса прописать? 18.08.2013, 10:45, "Виктор Вислобоков" corocho...@gmail.com:Вам нужно добиться, чтобы php-скрипты запускались с правами пользователя, которому принадлежит сайт. На остальные сайты соответственно поставите права 0750 а апача и nginx добавите в группу пользователя, чтобы они могли читать файлы. Как добиться? Разные способы есть. Например использование вместо mod_php для PHP режимов suexec или fastCGI. Есть ещё и всякие модули к апачу типа mod_suid, mod_ruid которые работают совместно с mod_php.18 августа 2013 г., 10:29 пользователь Русанов Олег lavan...@ya.ru написал:Здравствуйте. Есть ли способ предотвратить просматривать шелом другие сайты на виртуальном хосте?В конфиге сайта рут - папка где index.php, а шелл показывает, что root - это папка где все сайты находятся.Может быть в этом дело? -- С уважением,Олег Русанов.___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru,___nginx-ru mailing listnginx-ru@nginx.orghttp://mailman.nginx.org/mailman/listinfo/nginx-ru -- С уважением,Олег Русанов.___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: Защита от шелов
Directory /home/идентификатор/домен/docsphp_admin_value open_basedir /home/идентификатор/домен/docsphp_admin_value upload_tmp_dir /home/идентификатор/домен/docs/tmp/Directory Вот это работает все-таки, только если прописывать не в /home/user/d.ru/conf/virtual.conf.manual, а в /home/user/etc/httpd.confИ права должны быть выключены "для других". а Ру-Центр неплохой хостинг, у них еще в Амстердаме площадка открылась,так что по-моему они - лучший вариант. 18.08.2013, 11:03, "Artem Vasiliev" artem.vasil...@gmail.com:Сменить хостингWBRArtem V. VasilievSent from Mailbox for iPhoneOn Sun, Aug 18, 2013 at 10:58 AM, Русанов Олег lavan...@ya.ru wrote:Это слишком сложно, как я это сделаю на хостинге Ру-Центра? В конфиг Апача не помогает:Directory /home/идентификатор/домен/docsphp_admin_value open_basedir /home/идентификатор/домен/docsphp_admin_value upload_tmp_dir /home/идентификатор/домен/docs/tmp/Directoryможет это надо как-то в конфиг Энджиникса прописать? 18.08.2013, 10:45, "Виктор Вислобоков" corocho...@gmail.com:Вам нужно добиться, чтобы php-скрипты запускались с правами пользователя, которому принадлежит сайт. На остальные сайты соответственно поставите права 0750 а апача и nginx добавите в группу пользователя, чтобы они могли читать файлы.Как добиться? Разные способы есть. Например использование вместо mod_php для PHP режимов suexec или fastCGI. Есть ещё и всякие модули к апачу типа mod_suid, mod_ruid которые работают совместно с mod_php.18 августа 2013 г., 10:29 пользователь Русанов Олег lavan...@ya.ru написал:Здравствуйте. Есть ли способ предотвратить просматривать шелом другие сайты на виртуальном хосте?В конфиге сайта рут - папка где index.php, а шелл показывает, что root - это папка где все сайты находятся.Может быть в этом дело? -- С уважением,Олег Русанов.___ nginx-ru mailing listnginx-ru@nginx.orghttp://mailman.nginx.org/mailman/listinfo/nginx-ru,___nginx-ru mailing listnginx-ru@nginx.orghttp://mailman.nginx.org/mailman/listinfo/nginx-ru -- С уважением,Олег Русанов.___nginx-ru mailing listnginx-ru@nginx.orghttp://mailman.nginx.org/mailman/listinfo/nginx-ru,___nginx-ru mailing listnginx-ru@nginx.orghttp://mailman.nginx.org/mailman/listinfo/nginx-ru -- С уважением,Олег Русанов.___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: Защита от шелов
Да, отруби ты уже этот html. Глаза сломать можно. On Sun, Aug 18, 2013 at 10:58:13AM +0400, Русанов Олег wrote: divЭто слишком сложно, как я это сделаю на хостинге Ру-Центра? /divdiv /divdivВ конфиг Апача не помогает:/divdivspan style=background-color:#f9f9f9;font-family:verdana,arial,sans-serif;font-size:11px;lt;Directory /home/идентификатор/домен/docsgt;/span/divdivspan style=font-family:verdana,arial,sans-serif;font-size:11px;background-color:#f9f9f9;php_admin_value open_basedir /home/идентификатор/домен/docs/spanbr style=font-family:verdana,arial,sans-serif;font-size:11px; /span style=font-family:verdana,arial,sans-serif;font-size:11px;background-color:#f9f9f9;php_admin_value upload_tmp_dir /home/идентификатор/домен/docs/tmp/spanbr style=font-family:verdana,arial,sans-serif;font-size:11px; /span style=font-family:verdana,arial,sans-serif;font-size:11px;background-color:#f9f9f9;lt;/Directorygt;/span/divdivможет это надо как-то в конфиг Энджиникса прописать?/divdiv /divdiv18.08.2013, 10:45, Виктор Вислобоков lt;corocho...@gmail.comgt;:/divblockquote type=citedivdivВам нужно добиться, чтобы php-скрипты запускались с правами пользователя, которому принадлежит сайт. На остальные сайты соответственно поставите права 0750 а апача и nginx добавите в группу пользователя, чтобы они могли читать файлы.br / /divКак добиться? Разные способы есть. Например использование вместо mod_php для PHP режимов suexec или fastCGI. Есть ещё и всякие модули к апачу типа mod_suid, mod_ruid которые работают совместно с mod_php./divdivbr /br /div18 августа 2013 г., 10:29 пользователь Русанов Олег spanlt;a href=mailto:lavan...@ya.ru; target=_blanklavan...@ya.ru/agt;/span написал:br /blockquote style=margin:0 0 0 0.8ex;border-left:1px #ccc solid;padding-left:1ex;divЗдравствуйте. Есть ли способ предотвратить просматривать шелом другие сайты на виртуальном хосте?/divdivВ конфиге сайта рут - папка где index.php, а шелл показывает, что root - это папка где все сайты находятся./divdivМожет быть в этом дело?/divdiv /divdiv /divdiv-- br /С уважением,br /Олег Русанов./divbr /___br / nginx-ru mailing listbr / a href=mailto:nginx-ru@nginx.org;nginx-ru@nginx.org/abr / a href=http://mailman.nginx.org/mailman/listinfo/nginx-ru; target=_blankhttp://mailman.nginx.org/mailman/listinfo/nginx-ru/a/blockquote/div/div,p___br /nginx-ru mailing listbr /a href=mailto:nginx-ru@nginx.org;nginx-ru@nginx.org/abr /a href=http://mailman.nginx.org/mailman/listinfo/nginx-ru;http://mailman.nginx.org/mailman/listinfo/nginx-ru/a/p/blockquotediv /divdiv /divdiv-- br /С уважением,br /Олег Русанов./div ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: Кеширование проблема: перестает кешировать
продолжаю играться с кешированием на тестах (в том числе конкурентных, ab) все было хорошо - попробовали под нагрузкой. nginx 1.2.1 да видимо есть бага какая-то. причем похоже бага с обработкой 'X-Accel-Expires' прорывает кеш периодически и на бакенд идет толпища запросов. убрал в nginx возможность управлять кешом со стороны бакенда proxy_ignore_headers 'X-Accel-Expires'; и стало работать нормально: на бакенд проходит 1 запрос в секунду на nginx - 500-600. а когда управляли кешированием с бакенда, всегда выдавая X-Accel-Expires: 30 то периодически на бакенд прорывается один и тот же запрос с частотой 200-300 в секунду (при 500-600 на фронтенде) да, в 1.2.1 прорывается кеш и в случае использования Accel-Expires тега и в случае его неиспользования. сапгрейдил nginx до 1.4. смотрим, ждем. видимо надо свое кеширование писать, раз даже в nginx не могут его запилить чтобы работало :( -- . ''`. Dmitry E. Oboukhov : :’ : email: un...@debian.org jabber://un...@uvw.ru `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 signature.asc Description: Digital signature ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re[2]: set на уровне http
Здравствуйте, Maxim. set на уровне http был бы очень удобен порой. Обходить это через map 1 $var { default value; } неудобно. http://nginx.org/en/docs/faq/variables_in_config.html Признаюсь, что не въехал в ответ по ссылке. Все слова знакомые, а собранные вместе смысл никакой в моей голове не приобретают. Тупею, видимо. :-) Опишу задачу. Мне надо было как-то писать в аксес-лог кэш-зону, чтобы потом по логам считать эффективность каждой кэш-зоны. Встроенную переменную я не знаю, поэтому решил создать переменную через set. Там, где запросы проксируются, я присваивал через set соответствующей переменной значение, равное имени кэшзоны. Но не все запросы проксируются и в логе вместо значения переменной пишется пустая строка, что неудобно для парсинга лога. Брать переменную в кавычки тоже неудобно. Для таких запросов я хотел присвоить этой переменной дефолтное значение -. Писать в каждом блоке server{} set или include посчитал лишним и вставил в http{} вот такие строчки: # set нельзя делать на уровне http, поэтому делаем присваивание через map map 1 $cache_zone_for_logging { default -; } Т.е. я хотел использовать set для инициализации переменной, которая потом может меняться. На мой примитивный взгляд кажется нелогичным иметь иерархию блоков конфига, иметь наследование с вышестоящих уровней иерархии и разрешать set-у работать на уровне http{}. Всмысле - _не_ разрешать? Да. Ошибся. Проблема состоит в том, что set - это директива модуля rewrite, которая не наследуется, выполняется вместе с остальными директивами в rewrite-фазе и т.п. Это всё тонкости реализации не ясные 99% процентам пользователей nginx-а. Ну вынесите её в отдельный модуль mod_set или ещё как-то проблему наверняка можно исправить. Вводить директиву set на уровне http с совершенно другой семантикой - это не очень хорошая идея. Зачем другая семантика. Оставить всё как есть, только дать возможность писать в конфиге set на уровне http{}. Это удобно, логично, упрощает конфиг, избавляет от копипасты. Во всяком случае мне так видится. Хотя судя по активности в треде это больше никому не надо. Так что можете забить, если реально много писать, тестировать и многое поломается. -- С уважением, Михаил mailto:postmas...@softsearch.ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: одноразовые пароли в basic authentication
Hello! On Sun, Aug 18, 2013 at 01:34:03PM +0400, Vladislav Shabanov wrote: Добрый день. Подскажите, пож-ста, есть ли какое-нибудь готовое решение для аутентификации одноразовыми паролями в nginX. Предполагается использовать что-то наподобие вот этого: http://www.aladdin-rd.ru/catalog/etoken/pass/ Есть готовое решение для Apache (mod_authn_otp), но переходить на Apache 2.x не хочется. Встраивать проверку непосредственно в приложения совсем не хочется, т.к. их несколько на разных языках. Варианты, которые рассматривал: 1.готовый модуль nginX: не нашёл 2.модуль для PAM: нашёл, но непонятно как кэшировать пароль на сервере так, чтобы при загрузке каждой страницы он заново не требовал нового одноразового пароля. 3.модуль для Radius: вроде как есть такой зверь где-то, но опять непонятно, может ли Radius или модуль к nginX кэшировать одноразовый пароль + IP с которого была успешная аутентификация в течение заданный интервала времени. Есть у кого-нибудь работающее решение этой задачи? Из банальных решений - взять auth request[1], и написать бекенд и/или использовать Apache с нужными модулями в роли такового. [1] http://mdounin.ru/hg/ngx_http_auth_request_module -- Maxim Dounin http://nginx.org/en/donation.html ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: Кеширование проблема: перестает кешировать
Hello! On Sun, Aug 18, 2013 at 11:42:24PM +0400, Dmitry E. Oboukhov wrote: продолжаю играться с кешированием на тестах (в том числе конкурентных, ab) все было хорошо - попробовали под нагрузкой. nginx 1.2.1 да видимо есть бага какая-то. причем похоже бага с обработкой 'X-Accel-Expires' прорывает кеш периодически и на бакенд идет толпища запросов. убрал в nginx возможность управлять кешом со стороны бакенда proxy_ignore_headers 'X-Accel-Expires'; и стало работать нормально: на бакенд проходит 1 запрос в секунду на nginx - 500-600. а когда управляли кешированием с бакенда, всегда выдавая X-Accel-Expires: 30 то периодически на бакенд прорывается один и тот же запрос с частотой 200-300 в секунду (при 500-600 на фронтенде) да, в 1.2.1 прорывается кеш и в случае использования Accel-Expires тега и в случае его неиспользования. сапгрейдил nginx до 1.4. смотрим, ждем. видимо надо свое кеширование писать, раз даже в nginx не могут его запилить чтобы работало :( Сторонние модули выпилили, или как в прошлый раз? Ждать, что кеширование будет работать, если в логах вполне однозначно написано, что из-за стороннего модуля cache manger умер - несколько наивно. -- Maxim Dounin http://nginx.org/en/donation.html ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: Защита от шелов
php_value open_basedir /home/user/1.ru/docs такое спасает только от PHP. Но если запустить perl или ещё чего - проблема остаётся, потому что на них ограничения PHP не распространяются. Так что правильное решение - это разделение прав доступа по сайтам - всё остальное лишь полумеры 18 августа 2013 г., 12:44 пользователь Русанов Олег lavan...@ya.ruнаписал: На счет прав не знаю теперь, это у меня из кэша шелл грузился. оказывается, а так выше папки сайта не может выйти, если в в /home/user/etc/httpd.conf прописать. В общем работает и удобнее всего, наверное, это: в .htaccess добавить: php_value open_basedir /home/user/1.ru/docs 18.08.2013, 11:19, Русанов Олег lavan...@ya.ru: Directory /home/идентификатор/домен/docs php_admin_value open_basedir /home/идентификатор/домен/docs php_admin_value upload_tmp_dir /home/идентификатор/домен/docs/tmp /Directory Вот это работает все-таки, только если прописывать не в /home/user/ d.ru/conf/virtual.conf.manual, а в /home/user/etc/httpd.conf И права должны быть выключены для других. а Ру-Центр неплохой хостинг, у них еще в Амстердаме площадка открылась, так что по-моему они - лучший вариант. 18.08.2013, 11:03, Artem Vasiliev artem.vasil...@gmail.com: Сменить хостинг WBR Artem V. Vasiliev Sent from Mailbox for iPhone On Sun, Aug 18, 2013 at 10:58 AM, Русанов Олег lavan...@ya.ru wrote: Это слишком сложно, как я это сделаю на хостинге Ру-Центра? В конфиг Апача не помогает: Directory /home/идентификатор/домен/docs php_admin_value open_basedir /home/идентификатор/домен/docs php_admin_value upload_tmp_dir /home/идентификатор/домен/docs/tmp /Directory может это надо как-то в конфиг Энджиникса прописать? 18.08.2013, 10:45, Виктор Вислобоков corocho...@gmail.com: Вам нужно добиться, чтобы php-скрипты запускались с правами пользователя, которому принадлежит сайт. На остальные сайты соответственно поставите права 0750 а апача и nginx добавите в группу пользователя, чтобы они могли читать файлы. Как добиться? Разные способы есть. Например использование вместо mod_php для PHP режимов suexec или fastCGI. Есть ещё и всякие модули к апачу типа mod_suid, mod_ruid которые работают совместно с mod_php. 18 августа 2013 г., 10:29 пользователь Русанов Олег lavan...@ya.ru написал: Здравствуйте. Есть ли способ предотвратить просматривать шелом другие сайты на виртуальном хосте? В конфиге сайта рут - папка где index.php, а шелл показывает, что root - это папка где все сайты находятся. Может быть в этом дело? -- С уважением, Олег Русанов. ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru , ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru -- С уважением, Олег Русанов. ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru , ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru -- С уважением, Олег Русанов. , ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru -- С уважением, Олег Русанов. ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru