LINUX.ORG.RU

История изменений

Исправление user_id_68054, (текущая версия) :

и обесопасивает

говорить о безопасности — можно только лишь в случае когда socket-файл доступен не более чем двум программам (на сервере): nginx и fcgi-демону.

а зачастую простая схема (простая схема обеспечения доступности socket-файлов) — предполагает что socket-файлы доступны аж для целой группе пользователей (например нескольким разным FCGI-демонам, которые не связаны друг с другом, но они оказались на одном сервере).

если какая-то другая программа (например взломанная) получила доступ к чужому socket-файлу — то она сможет напрямую посылать некорректные (фльшивые) запросы к чужому FCGI-демону и чёрт знает к чему это может привести. :-)

не сказать что бы это прям реально способно привести к взлому.. но всё же — при определнных (других) обстоятельствах этим можно было бы воспользоваться злонамеренно! :-)

в случае Apache — Апач не только опеспечивает запуск fcgi-приложения, но и сам Апач обеспечивает безопасность socket-файла. fcgi-приложение можно запускать от разнообразных прав (mod_suexec) , но при этом всегда fcgi-приложение будет иметь доступ к socket ! а другие программы доступ иметь не будут (root не в счёт, конечно)!

а в случае Nginx так как мы сами запускаем fcgi-демон — то и мысами должны придумать хитрый механизм по которому ни кто другой не сможет доступчаться до socket-файла.

и я бы не сказал бы что это всё очень сложно (в случае Nginx самому всё это продумывать) — но просто мне кажется что такого рода вещи должны быть чуток более тривиальными :-) ...

и конечно проблем-и-гемороя будет минимум (ды вообще не будет!) если только один FCGI-демон у нас на одном сервере. :-)

Исходная версия user_id_68054, :

и обесопасивает

говорить о безопасности — можно только лишь в случае когда socket-файл доступен не более чем двум программам (на сервере): nginx и fcgi-демону.

а зачастую простая схема (простая схема обеспечения доступности socket-файлов) — предполагает что socket-файлы доступны аж для целой группе пользователей (например нескольким разным FCGI-демонам, которые не связаны друг с другом, но они оказались на одном сервере).

если какая-то другая программа (например взломанная) получила доступ к чужому socket-файлу — то она сможет напрямую посылать некорректные (фльшивые) запросы к чужому FCGI-демону и чёрт знает к чему это может привести. :-)

не сказать что бы это прям реально способно привести к взлому.. но всё же — при определнных (других) обстоятельствах этим можно было бы воспользоваться злонамеренно! :-)

в случае Apache — Апач не только опеспечивает запуск fcgi-приложение, но и сам Апач обеспечивает безопасность socket-файла. fcgi-приложение можно запускать от разнообразных прав (mod_suexec) , но при этом всегда fcgi-приложение будет иметь доступ к socket ! а другие программы доступ иметь не будут (root не в счёт, конечно)!

а в случае Nginx так как мы сами запускаем fcgi-демон — то и мысами должны придумать хитрый механизм по которому ни кто другой не сможет доступчаться до socket-файла.

и я бы не сказал бы что это всё очень сложно (в случае Nginx самому всё это продумывать) — но просто мне кажется что такого рода вещи должны быть чуток более тривиальными :-) ...

и конечно проблем-и-гемороя будет минимум (ды вообще не будет!) если только один FCGI-демон у нас на одном сервере. :-)