permessi utente e nginx con git hook per la distribuzione

1

Quindi sto provando a configurare un server web che userà nginx per servire un sito statico (per ora). Ho creato un repository git che voglio spingere per semplificare l'implementazione (usando questa guida: link ).

Ho letto alcune informazioni sull'importanza di limitare le autorizzazioni di directory / file durante l'impostazione di qualsiasi server, ma sono confuso su come dovrei impostarlo esattamente e su come diverse autorizzazioni mettono a rischio nginx / my server.

In base a questa discussione: su serverfault :

Quote: Originally Posted by druuna View Post /var/www and all it files/subdirectories should be owned by the user and group that runs apache (apache:apache for example)!!

NO! ABSOLUTELY NOT!

If you do that, you allow Apache and any scripts it runs, to modify existing files and to create new ones. Any slight programming bug in any of your scripts, or a slight error in Apache configuration (allowing anonymous DAV, for example) will expose your Apache server for malicious use.

If you run a known Apache server, you'll see in the logs that there are people out there that scan servers for known script vulnerabilities. If you happen to have one of those in your server, and you're using the configuration Druuna suggested, your server will be subverted. At minimum, it will be used as a drop-box for illicit files, or for spreading malware or viruses; at worst, they'll upload a script that uses an unpatched security vulnerability to get full control of your server. At that point, you're screwed: only a full reinstall from known good sources will give you back the control of your server.

La risposta accettata a questo la domanda su serverfault sembra una buona direzione, ma come indicato nella sezione "Manutenzione di un gruppo di utenti":

One thing to be careful about with this solution is that the user owner of new files will match the creator instead of being set to www-data. So any new files you create won't be readable by Apache until you chown them.

Quindi, questa risposta è giusta? È applicabile alla mia situazione (sono proprietario del server, ospita solo un sito statico ...)? Come faccio a superare il problema di dover separare separatamente i nuovi file?

Qualcuno potrebbe darmi ulteriori dettagli su come un server Web nginx compromesso potrebbe compromettere l'intero server host e come questo si collega (o non lo è) alle autorizzazioni file / directory? Sto trovando informazioni molto sparse / contraddittorie / non concise / non esaustive da googling.

Grazie.

    
posta someguyquestions 14.05.2017 - 04:45
fonte

0 risposte

Leggi altre domande sui tag