[room] безопасности

[Денис Смирнов]

On Sat, Sep 16, 2006 at 12:22:54PM +0300, Michael Shigorin wrote:

MS> Можно при помощи e.g. mod_chroot засунуть тогда, когда сам apache
MS> по крайней мере уже взлетел и слинковался со всем, что нужно
MS> (включая то, что нужно модулям).
MS> А это си.  Правда, уже пару-тройку раз сделано.

Я вот думаю, а не сделать ли мне вид что параноик уже клинический?

1. прикрутить возможность к nginx запускать две копии -- одна в чруте
(фронтенд), другая нет (чтобы иметь доступ к static www).
2. вторую копию таки тоже чрутить, но уже в корень static www.
3. apache стартовать сразу же не от рута, пущай висит себе на
127.0.0.1:8080 каком.

Сейчас критическая точка сам nginx -- ошибка в нем означает компрометацию
всей системы. Нехорошо, однако.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
inger, zerg: как вы такое отлаживаете-то?  поделитесь секретами :)
		-- mike in #6964