Можно ли запустить Nginx от root?

Question

Twelfth Doctor @verdex

Linux
Nginx

Можно ли запустить Nginx от root?

Здравствуйте. Подскажите пожалуйста, можно ли запускать root от имени root и чем это чревато?
Просто сайты у меня лежат в домашних директориях пользователей, права на папки с сайтами 700, и если Nginx запустить от рута, он сможет прочитать статический контент вне зависимгсти от того, есть у него права на чтение директории или нет. Или же есть аналог Apache mpm_itk для nginx?

Вопрос задан более трёх лет назад
1455 просмотров

6 комментариев

Подписаться 1 Оценить 6 комментариев

Twelfth Doctor @verdex Автор вопроса

pygame: php работает под отдельным не root пользователем, поэтому скрипты видят только необходимые ресурсы.

Написано более трёх лет назад
Ульрих @ulrich-schnauss

verdex: в случае компрометации сайта ( любым способом ), злоумышленник получит доступ к серверу ОТ ИМЕНИ ПОЛЬЗОВАТЕЛЯ ВЕБСЕРВЕРА. Это и есть ответ на ваш вопрос.

Написано более трёх лет назад
Twelfth Doctor @verdex Автор вопроса

Ульрих: Странно, я думал, что в случае компрометации сайта злоумышленник получит доступ к веб-серверу от имени пользователя, от которого работает PHP на зараженном сайте.
Если моя догадка верна, то будет правильным назначить пользователю www-data права r-x на папку с сайтом и все директории в пути до этой папки. Тогда Nginx сможет читать статику, а вирус останется в пределах зараженного сайта.

Написано более трёх лет назад
Ульрих @ulrich-schnauss

verdex: Я, к сожалению, nginx не использую, а в Апаче включаю модуль apache2-mpm-itk, чтобы изолировать каждый сайт друг от друга и от сервера в целом. Если сайт (веб-проект) вообще ничего не пишет в свой каталог, то можно запретить запись в конфиге сайта, тогда злоумышленник сможет только читать файлы.

Написано более трёх лет назад
Twelfth Doctor @verdex Автор вопроса

Ульрих: сайты будут разные, и почти все что-то пишут в каталог, поэтому запретить запись в конфиге сайта нецелесообразно. Apache у меня тоже работает в mpm-itk, просто я еще Nginx перед Apache использую, чтобы снизить нагрузку.

Написано более трёх лет назад
Ульрих @ulrich-schnauss

verdex: прям такой высоконагруженный проект? 100500 посетителей в день? Если нет, то Nginx нафиг не нужен. ИМХО

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 3

1 комментарий

Комментировать

2 комментария

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Linux

Простой
Кокую Linux выбрать новичку?
- 1 подписчик
- 30 минут назад
- 35 просмотров
4

ответа
Linux

+1 ещё

Средний
Как можно получить доступ к расшаренным папкам организации через телефон?
- 3 подписчика
- 4 часа назад
- 208 просмотров
3

ответа
Nginx

+2 ещё

Средний
Как заставить браузер скачать mp3-файл вместо его открытия во вкладке?
- 1 подписчик
- 8 часов назад
- 76 просмотров
1

ответ
Nginx

Простой
Не проксируется localhost nginx?
- 1 подписчик
- 18 часов назад
- 111 просмотров
0

ответов
Linux

+2 ещё

Простой
Как установить Sphinx на Alma Linux 9?
- 1 подписчик
- вчера
- 59 просмотров
4

ответа
Linux

+2 ещё

Средний
Как настроить авторизацию через PAM несколькими способами?
- 3 подписчика
- вчера
- 293 просмотра
2

ответа
Linux

Простой
Как в вашей компании обеспечивается установка пакетов и обслуживание репозиториев?
- 3 подписчика
- вчера
- 818 просмотров
3

ответа
PHP

+1 ещё

Простой
Как написать правило в nginx чтобы адрес типа localhost:8099/home/index/alex попадал в GET['url'] параметр?
- 1 подписчик
- 26 нояб.
- 67 просмотров
1

ответ
Linux

+1 ещё

Сложный
Как определить почему тормозит интерфейс при работе через HAproxy?
- 1 подписчик
- 26 нояб.
- 55 просмотров
0

ответов
Linux

+1 ещё

Простой
Что лучше юзать для восстановления системы BTRFS или RSYNC на Linux?
- 1 подписчик
- 26 нояб.
- 206 просмотров
5

ответов
Показать ещё Загружается…

Системный администратор Astra Linux

Гринатом • Новосибирск

До 60 000 ₽

Системный инженер (Windows/Astra Linux)

Гринатом • Новосибирск

До 57 000 ₽

Ведущий инженер Linux

Интер РАО – Управление сервисами • Москва

от 180 000 ₽

Настроить платежную систему Юкассы в телеграм боте

28 нояб. 2024, в 19:36

1000 руб./за проект

Разработка приложения VPN

28 нояб. 2024, в 18:46

3000 руб./за проект

Разработка Телеграм Бота

28 нояб. 2024, в 17:46

10000 руб./за проект

pygame: php работает под отдельным не root пользователем, поэтому скрипты видят только необходимые ресурсы.
verdex: в случае компрометации сайта ( любым способом ), злоумышленник получит доступ к серверу ОТ ИМЕНИ ПОЛЬЗОВАТЕЛЯ ВЕБСЕРВЕРА. Это и есть ответ на ваш вопрос.
Ульрих: Странно, я думал, что в случае компрометации сайта злоумышленник получит доступ к веб-серверу от имени пользователя, от которого работает PHP на зараженном сайте.
Если моя догадка верна, то будет правильным назначить пользователю www-data права r-x на папку с сайтом и все директории в пути до этой папки. Тогда Nginx сможет читать статику, а вирус останется в пределах зараженного сайта.
verdex: Я, к сожалению, nginx не использую, а в Апаче включаю модуль apache2-mpm-itk, чтобы изолировать каждый сайт друг от друга и от сервера в целом. Если сайт (веб-проект) вообще ничего не пишет в свой каталог, то можно запретить запись в конфиге сайта, тогда злоумышленник сможет только читать файлы.
Ульрих: сайты будут разные, и почти все что-то пишут в каталог, поэтому запретить запись в конфиге сайта нецелесообразно. Apache у меня тоже работает в mpm-itk, просто я еще Nginx перед Apache использую, чтобы снизить нагрузку.
verdex: прям такой высоконагруженный проект? 100500 посетителей в день? Если нет, то Nginx нафиг не нужен. ИМХО