Колхозный хостинг или сколько памяти ест один инстанс nginx-а?

AmdY

Пью пиво
Команда форума
проблема в том, что nginx не увидит файлы, которые не в его группе,
если всех юзеров добавить в его группу - они будут видеть файлы друг друга,
а если не добавить - они будут создавать файлы, которые не видит nginx
решить эту проблему можно, например, через мапинг ID юзеров, который есть у докера

можно просто забить, задать домашним каталогам другую группу, и сказать юзеры чтобы всем файлам разрешали общий доступ на чтение
А разве указание root ждля каждого домена не решит эту проблему?
 

WMix

герр M:)ller
Партнер клуба
и я не врубаюсь, а по одному fpm чем не катит, и проксуй, зачем nginx на пользователя?
 

grigori

( ͡° ͜ʖ ͡°)
Команда форума
@Фанат просто запусти воркера nginx под рутом 🤣
это будет самая незначительная уязвимость такого хостинга,
+ chroot для sftp - будет самое экономное решение
 

grigori

( ͡° ͜ʖ ͡°)
Команда форума
а статика не public?
через sftp ты заливаешь файлы, они оказываются под некоторым юзером, и в какой-то группе,
если все файлы всех юзеров пишутся под одной общей группой, то из php можно переписать все файлы всех юзеров - это достаточно распространенная уязвимость шареных хостингов
 

grigori

( ͡° ͜ʖ ͡°)
Команда форума
можно, конечно, поиграть с пермиссиями, настроить sftpd, чтобы файлы писались в общей группе, но с пермиссией 744, а папки с 755, тогда у всех будет доступ к чужим папкам и файлам только на чтение, в том числе и конфигов с паролями к базам, и рассказать юзерам, что конфигам нужно выставлять 700, а мы все на это забиваем, и оно как-бы и сделано, но как-бы и не до конца
 

Фанат

oncle terrible
Команда форума
А разве указание root ждля каждого домена не решит эту проблему?
Тут проблема не в самом нжинксе, а задачке типа козла лодки и капусты.
То есть раздать всем права так, чтобы нжинкс видел всех, а все друг друга не видели.

причем всякие искусственные ограничения это по определению паллиатив.
sftp закроет для шелла, но не для пхп. open_basedir закроет для пхп, но юзер может залить утилитку на баше - и так далее.
Хочется сделать чисто нативными пермишенами
 
Последнее редактирование:

Фанат

oncle terrible
Команда форума
только я пока вообще не понимаю, как запускать несколько инстансов nginx-a под разными пользователями....
 
Последнее редактирование:

флоппик

promotor fidei
Команда форума
Партнер клуба
чето вы оба путаете. @WMix правильно говорит. Пользователи user1, user2 состоят в www-data, которая для нджинкса. У них есть /www/user1, /www/user2, которые их домашние каталоги для фтп/сфтп - они принадлежат этим пользователям, права у группы нет на эти папки. В нджинксе в файлах конкретных хостов, напр user1.site.com указан документ рут через /www/user1/public - на эту папку у www-data есть право на чтение.
Но для них для каждых нужно fpm пул заводить под разными пользователями user1 и user2, чтоб они не могли из под фпм-пользователя просто файловыми функциями сходить к соседу из под общего пользователя.
 

Фанат

oncle terrible
Команда форума
или вернуться к старикашке оппачу? я так понимаю что с Worker MPM он по производительности не сильно должен уступать нужниксу...
у него хотя бы внятная интрукция есть, как это сделать https://github.com/dcmorton/apache24-ubuntu/blob/master/debian/README.multiple-instances
тупо копированием /etc/apache2 to /etc/apache2-xxx, гы гы
 

Фанат

oncle terrible
Команда форума
user1, user2 состоят в www-data, которая для нджинкса.
на мой взгляд это противоречит
права у группы нет на эти папки
если у группы (www-data) нет прав на эти папки, то как нжинкс в них зайдёт?

вообще я это всё умозрительно, последний раз с этим игрался нескольк лет назад и могу тупить.
но в свое время 403-й нахавался знатно, именно из-за пермишенов
 

grigori

( ͡° ͜ʖ ͡°)
Команда форума
только я пока вообще не понимаю, как запускать несколько инстансов nginx-a под разными пользователями....
пишешь по конфигу для юзера, в каждом из них меняешь "user www-data;" на своих юзеров и запускаешь несколько инстансов с конкретными конфигами
~$ nginx -c /path/to/config
в чем проблема-то?
 

Фанат

oncle terrible
Команда форума
ну вот да ещё есть чрут.
с одной стороны оно надёжнее чем мои пляски с бубном, поскольку сейчас любой юзер может гулять по всему серваку.
с другой - я не настолько прошаренный админ, чтобы взять и настроить чрут вот прям сходу. он меня всегда пугал, пробросом зависимостей и вообще
 

Фанат

oncle terrible
Команда форума
Оппачки!
Я на него набредал в своих поисках, но не понял что это. Думал что это просто тот же чмод, вид в профиль.
В частности getfacl показывает тупо пермишены
А теперь вижу что это параллельная вселенная!
И это выглядит очень многообещающе!
 
Сверху