Разграничение прав на сервере в пределах одного домена?

Question

[Sergey Petrov]

Есть сайт с доменом http://example.com, к нему необходимо добавить блог с адресом example.com/blog . Как можно разграничить права на сервере так, чтобы при взломе блога (заливке шела), злоумышленник не смог получить доступ к файлам основного сайта?

Как настроить Nginx, чтобы работа с поддиректорией /blog (в частности - запуск php) велась от другого пользователя (не того из под которого работает основной сайт)?

Comments

[ldv]

настроить еще один pool в php-fpm

[Sergey Petrov]

ldv: для меня вопрос бы в том, как потом nginx заставить использовать этот пул. Вроде уже разобрался, спасибо

[Saboteur]

А почему не blog.example.com?
На порядок проще потом будет разграничивать и разносить

[Sergey Petrov]

Сергей: я с вами согласен, но требования заказчика чтобы было именно как поддиректория

Answer 1

[sim3x]

два php-fpm от двух пользователей, а в nginx все распределить по своим location

Comments

[Sergey Petrov]

В принципе я так и думал, но не знал как реализовать это на практике. Погуглиг, и нашел что это должно работать через
location /blog {
fastcgi_pass 127.0.0.1:xxxx;
}

Answer 2

[ТёмнаяМатерия]

Нужно создать нового ФТП-пользователя и в стартовой директории задать ему /blog, тогда он не сможет попасть на основной сайт.

Comments

[Sergey Petrov]

Если Nginx будет запускать скрипты из основного сайта и из блога под одним и тем же пользователем, то если залить shell через блог, то этот шелл будет так же запускаться от основного пользователя, и соответственно будет иметь доступ к файлам основного сайта (надо будет только подняться по каталогу выше).

FTP на сервере вообще не используется

[ТёмнаяМатерия]

Sergey Petrov: создайте ещё пользователя и расположите блог не в example.com/blog а в blog.example.com

[Sergey Petrov]

ТёмнаяМатерия: это было бы очень просто, заказчику так не нравится )