Nginxとシンボリックリンク


 以前の記事の通り、簡単なバーチャルホストは動いた。シンボリックリンクを適当なところに張っても問題無し。
 つーか、シンボリックリンクをお断りしようとしたら、ApacheのOptions -FollowSymLinksのようにパフォーマンスを犠牲にしてlstat祭りをするか、symlink禁止なFSにするくらいしか無さそうだ。
 となれば、ln -s / xのような行為が思い浮かぶ。つっても、それを防ごうとしたらlstat祭りか…。放置なんだろうな、と思いつつ一般ユーザー権限でテスト。ふつーに色々見えました。やはり放置か。

 では、これはセキュリティリスクなのだろうか。
 んー。よくよく考えてみたら、suexecしてないCGI使用可能なサーバと大して変わらないか。世の中そんなサーバだらけだしな。同鯖の他人のWordPressのDBアクセスのパスワードを抜いたりは出来るけど。でもそれ、どう防ぐのがいいんだろう。全員をusers所属にしてsuexec導入してgroupパーミッション落とすとか?
 まあ、身内鯖だからどうでもいいのだが。

追記:
 限定的な対策としてはchrootもあるけど、話はだいぶ変わるのだよな。

(Visited 145 times, 1 visits today)

コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください