Можно ли запустить Nginx от root?

Question

Twelfth Doctor @verdex

Linux
Nginx

Можно ли запустить Nginx от root?

Здравствуйте. Подскажите пожалуйста, можно ли запускать root от имени root и чем это чревато?
Просто сайты у меня лежат в домашних директориях пользователей, права на папки с сайтами 700, и если Nginx запустить от рута, он сможет прочитать статический контент вне зависимгсти от того, есть у него права на чтение директории или нет. Или же есть аналог Apache mpm_itk для nginx?

Вопрос задан более трёх лет назад
1372 просмотра

6 комментариев

Подписаться 1 Оценить 6 комментариев

Twelfth Doctor @verdex Автор вопроса

pygame: php работает под отдельным не root пользователем, поэтому скрипты видят только необходимые ресурсы.

Написано более трёх лет назад
Ульрих @ulrich-schnauss

verdex: в случае компрометации сайта ( любым способом ), злоумышленник получит доступ к серверу ОТ ИМЕНИ ПОЛЬЗОВАТЕЛЯ ВЕБСЕРВЕРА. Это и есть ответ на ваш вопрос.

Написано более трёх лет назад
Twelfth Doctor @verdex Автор вопроса

Ульрих: Странно, я думал, что в случае компрометации сайта злоумышленник получит доступ к веб-серверу от имени пользователя, от которого работает PHP на зараженном сайте.
Если моя догадка верна, то будет правильным назначить пользователю www-data права r-x на папку с сайтом и все директории в пути до этой папки. Тогда Nginx сможет читать статику, а вирус останется в пределах зараженного сайта.

Написано более трёх лет назад
Ульрих @ulrich-schnauss

verdex: Я, к сожалению, nginx не использую, а в Апаче включаю модуль apache2-mpm-itk, чтобы изолировать каждый сайт друг от друга и от сервера в целом. Если сайт (веб-проект) вообще ничего не пишет в свой каталог, то можно запретить запись в конфиге сайта, тогда злоумышленник сможет только читать файлы.

Написано более трёх лет назад
Twelfth Doctor @verdex Автор вопроса

Ульрих: сайты будут разные, и почти все что-то пишут в каталог, поэтому запретить запись в конфиге сайта нецелесообразно. Apache у меня тоже работает в mpm-itk, просто я еще Nginx перед Apache использую, чтобы снизить нагрузку.

Написано более трёх лет назад
Ульрих @ulrich-schnauss

verdex: прям такой высоконагруженный проект? 100500 посетителей в день? Если нет, то Nginx нафиг не нужен. ИМХО

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 3

1 комментарий

Комментировать

2 комментария

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Linux

+1 ещё

Простой
Как сменить с Toplevel на иконку?
- 1 подписчик
- 9 часов назад
- 24 просмотра
0

ответов
WordPress

+1 ещё

Сложный
Почему ошибка 404 после переноса на ngnix?
- 1 подписчик
- 11 часов назад
- 77 просмотров
0

ответов
Linux

+1 ещё

Средний
Как исправить ошибки при запуске arch linux?
- 1 подписчик
- 14 часов назад
- 41 просмотр
0

ответов
Linux

+1 ещё

Средний
Как добиться нормальной скорости чтения microSD через встроенный картридер на Debian?
- 2 подписчика
- 18 часов назад
- 199 просмотров
2

ответа
Linux

+3 ещё

Средний
Как запустить установленную на физический диск систему в виртуальной машине?
- 1 подписчик
- вчера
- 135 просмотров
1

ответ
Linux

Простой
Какой линукс выбрать дата инженеру?
- 1 подписчик
- вчера
- 233 просмотра
6

ответов
Linux

+2 ещё

Средний
Linux (Любой). Xiaomi Book Pro 14. Что делать, если тачпад, иногда, после скролла считывает фантомное нажатие?
- 1 подписчик
- 02 мая
- 85 просмотров
0

ответов
Linux

+2 ещё

Простой
Как добавить количество wc -l в конец строки в виде значения?
- 1 подписчик
- 02 мая
- 89 просмотров
1

ответ
Linux

+2 ещё

Простой
Как изменить способ сжатия deb пакетов по умолчанию с zstd на xz?
- 1 подписчик
- 02 мая
- 92 просмотра
1

ответ
Linux

+4 ещё

Сложный
OpenWRT не работает wan после перезапуска кто может подсказать решение?
- 1 подписчик
- 02 мая
- 65 просмотров
0

ответов
Показать ещё Загружается…

Linux Администратор DevOps

ИМАГ • Москва

от 150 000 до 170 000 ₽

Программист C/C++ embedded Linux

РТК Автоматика • Москва

от 170 000 до 250 000 ₽

Системный инженер/ DevOps (удаленно)

Git in Sky

До 200 000 ₽

Внести правки в проект на nest и react

05 мая 2024, в 06:38

50000 руб./за проект

Специалист по телеграм

05 мая 2024, в 04:55

12000 руб./за проект

Название проекта: Бот Telegram для автоматизации судебных приказов

05 мая 2024, в 02:15

30000 руб./за проект

pygame: php работает под отдельным не root пользователем, поэтому скрипты видят только необходимые ресурсы.
verdex: в случае компрометации сайта ( любым способом ), злоумышленник получит доступ к серверу ОТ ИМЕНИ ПОЛЬЗОВАТЕЛЯ ВЕБСЕРВЕРА. Это и есть ответ на ваш вопрос.
Ульрих: Странно, я думал, что в случае компрометации сайта злоумышленник получит доступ к веб-серверу от имени пользователя, от которого работает PHP на зараженном сайте.
Если моя догадка верна, то будет правильным назначить пользователю www-data права r-x на папку с сайтом и все директории в пути до этой папки. Тогда Nginx сможет читать статику, а вирус останется в пределах зараженного сайта.
verdex: Я, к сожалению, nginx не использую, а в Апаче включаю модуль apache2-mpm-itk, чтобы изолировать каждый сайт друг от друга и от сервера в целом. Если сайт (веб-проект) вообще ничего не пишет в свой каталог, то можно запретить запись в конфиге сайта, тогда злоумышленник сможет только читать файлы.
Ульрих: сайты будут разные, и почти все что-то пишут в каталог, поэтому запретить запись в конфиге сайта нецелесообразно. Apache у меня тоже работает в mpm-itk, просто я еще Nginx перед Apache использую, чтобы снизить нагрузку.
verdex: прям такой высоконагруженный проект? 100500 посетителей в день? Если нет, то Nginx нафиг не нужен. ИМХО