Здравствуйте.
SystemD поддерживает возможность запуска сервисов в режиме песочницы. В
параметрах есть опция RemoveIPC -
https://www.freedesktop.org/software/systemd/man/systemd.exec.html#RemoveIPC=
Приложение nginx использует IPC вызовы? Можно ли фильтровать эти события, а так
же системные
На примере nginx, раз уж про него речь.
Штука выглядит прикольной, но не могу придумать, когда она полезна и в чём
On Wed, May 12, 2021, 10:12 PM Maxim Konovalov wrote:
> Привет.
>
> On 12.05.2021 19:54, Илья Шипицин wrote:
> > какие преимущества и в каких сценариях может дать такая настройка?
/etc/nginx/config/system/security.conf
-
server_tokens off;
add_header X-Frame-Options "deny";
add_header X-XSS-Protection"1;
Привет.
On 12.05.2021 19:54, Илья Шипицин wrote:
> какие преимущества и в каких сценариях может дать такая настройка?
>
Илья, вы спрашиваете про sandboxing как технологию вообще или
применительно к nginx/systemd?
--
Maxim Konovalov
___
nginx-ru
Title: Re: nginx: sandboxing
Здравствуйте, Илья.
Например, грубый пример, если взломают web-сайт, то не смогут выйти за пределы песочницы.
Вы писали 12 мая 2021 г., 20:26:58:
На примере nginx, раз уж про него речь.
Штука выглядит прикольной, но не могу придумать, когда она полезна и в
On 12.05.2021 20:26, Илья Шипицин wrote:
> На примере nginx, раз уж про него речь.
>
> Штука выглядит прикольной, но не могу придумать, когда она полезна и в чём
>
Допустим, известно, что в дикой природе программа X ни при каких случаях
не должна делать execve(2). Отличная идея исключить этот
На уровне server определены error_pages для location "/"
Для остальных locations не нужно отдавать эти страницы, в случае
возникновения ошибок
Пытаюсь в этих секциях выставлять
proxy_intercept_errors off;
но бесполезно - при возникновении ошибки отдается страница а не ответ из
upstream
Title: Re: nginx: sandboxing
Здравствуйте, Илья.
Если nginx использует эти вызовы, то в конфигурацию сервиса добавить строки, которые разрешают эти вызовы:
```
SystemCallFilter=pipe
SystemCallFilter=pipe2
```
Хотелось немного повысить безопасность службы и изолировать от других сервисов,
а как предполагается, это должно работать ?
типа, программа использует эти вызовы, а мы такие бац, и запретили.
и что должно произойти ? всё сломается ?
какая модель угроз ? есть какие-нибудь примеры ?
ср, 12 мая 2021 г. в 17:43, :
> Здравствуйте.
> SystemD поддерживает возможность запуска
какие преимущества и в каких сценариях может дать такая настройка?
ср, 12 мая 2021 г. в 21:44, :
> Здравствуйте, Илья.
>
> Если nginx использует эти вызовы, то в конфигурацию сервиса добавить
> строки, которые разрешают эти вызовы:
> ```
> SystemCallFilter=pipe
> SystemCallFilter=pipe2
> ```
>
>
Мне нужно для CSP политики генерировать случайный nonce для каждого запроса
и записывать его в заголовок политики и затем этот же none передать в
заголовках апстриму
Posted at Nginx Forum:
https://forum.nginx.org/read.php?21,291507,291507#msg-291507
12.05.2021 22:38, budarin пишет:
не очень понятно >> на данном уровне не описаны свои директивы add_header.
не описаны любые или такие же???
речь как раз о случае когда я описываю в server и не описываю в location -
заголовки не появляются в запросах к location
Скореее всего они
Директивы наследуются с предыдущего уровня конфигурации при условии, что на
данном уровне не описаны свои директивы add_header.
Posted at Nginx Forum:
https://forum.nginx.org/read.php?21,291500,291502#msg-291502
___
nginx-ru mailing list
budarin Wrote:
---
> не описаны любые или такие же???
Любые. И не забывайте, что заголовки может добавлять не только add_header.
Posted at Nginx Forum:
https://forum.nginx.org/read.php?21,291500,291505#msg-291505
У меня есть двуязычный статический сайт, русскоязычный вариант которого
находится в каталоге /rus/, а английский в корневом каталоге. Как сделать
что бы для каталога /rus/ была бы своя русскоязычная страница 404? Казалось
бы нужно добавить location /rus/ {error_page 404 /rus/404.htm;}, но в
не очень понятно >> на данном уровне не описаны свои директивы add_header.
не описаны любые или такие же???
речь как раз о случае когда я описываю в server и не описываю в location -
заголовки не появляются в запросах к location
Posted at Nginx Forum:
16 matches
Mail list logo