全球主机交流论坛

标题: 熟话说得好，吃一堑长一智。求技术帝现身关于nginx防跨目 [打印本页]

作者: 樱桃大丸子 时间: 2012-4-23 13:58
标题: 熟话说得好，吃一堑长一智。求技术帝现身关于nginx防跨目
求技术帝现身说法

评论一下网上几种关于nginx防跨目录的方法吧

作者: 樱桃大丸子 时间: 2012-4-23 14:00
另外感谢捅爆我菊花的，zhujima0(cab00)

谢谢你。

作者: enj0y 时间: 2012-4-23 14:13
提示: 作者被禁止或删除内容自动屏蔽

作者: Kokgog 时间: 2012-4-23 14:17
跨站只会存在于mod_php,因为mod_php机制里所有网站都是apache的www-data执行的

fastcgi先天免疫跨站, 因为fcgi的安全本身就要求每个网站(组)的fastcgi进程由不同的用户/用户组执行......你要照着mod_php的习惯所有网站的fcgi进程都由1个用户组跑, 神都没办法啊...........

作者: lixuguang.xy 时间: 2012-4-23 14:23

作者: 樱桃大丸子 时间: 2012-4-23 14:25

Kokgog 发表于 2012-4-23 14:17
跨站只会存在于mod_php,因为mod_php机制里所有网站都是apache的www-data执行的

fastcgi先天免疫跨站, 因为 ...

您的意识是。？

像主机控制面板那样

每个网站都给一个用户

例如：/home/user1/www 用户user1 用户组www
/home/user2/www 用户user2 用户组www

????这样嘛？

作者: 樱桃大丸子 时间: 2012-4-23 14:26

enj0y 发表于 2012-4-23 14:13
亲，
Nginx只能统一分配用户并降权。想要真正防跨目录只能反代，在后端用apache之类的限制。

谁用那破玩应啊

湿父的意识是用lnmpa ???? 做到防跨目录？

作者: enj0y 时间: 2012-4-23 14:30
提示: 作者被禁止或删除内容自动屏蔽

作者: shineme 时间: 2012-4-23 14:40
顶帖机测试

作者: 有个就好 时间: 2012-4-23 14:46
本坛很早就出PHP的Patch了

作者: Kokgog 时间: 2012-4-23 14:47

樱桃大丸子发表于 2012-4-23 14:25
您的意识是。？

像主机控制面板那样

nginx -> www-data:www-data

/home/user1/web -> /home/user1 (user1:user1) + fcgi (user1:user1)
/home/user2/web -> /home/user2 (user2:user2) + fcgi (user2:user2)

需求高的话还能限制得更死一点, 比如fcgi用web_user_1跑, /home/user1只给web_user_1读取权限

作者: shineme 时间: 2012-4-23 14:49
顶帖测试

作者: 狂犬疫苗 时间: 2012-4-23 14:49
http://www.notago.com/thread-383-1-1.html
http://www.notago.com/thread-364-1-1.html

作者: xspoco 时间: 2012-4-23 15:17
好高深的样子

作者: 老刘 时间: 2012-4-23 15:32
同求

作者: zc035 时间: 2012-4-23 15:37
我用 wdcp 做的 lnmp ，无法解决这个问题，直接换成了 lamp 了。

作者: mope007 时间: 2012-4-23 15:56

enj0y 发表于 2012-4-23 14:13
亲，
Nginx只能统一分配用户并降权。想要真正防跨目录只能反代，在后端用apache之类的限制。

lumanger的免费版有洞？

作者: enj0y 时间: 2012-4-23 15:58
提示: 作者被禁止或删除内容自动屏蔽

作者: mope007 时间: 2012-4-23 16:12

enj0y 发表于 2012-4-23 15:58
有0day
听朋友说的，直ROOT

额，这么悲催……不敢用了额……莫非还是直接用lnmp……

作者: 樱桃大丸子 时间: 2012-4-23 16:12

Kokgog 发表于 2012-4-23 14:47
nginx -> www-data:www-data

/home/user1/web -> /home/user1 (user1:user1) + fcgi (user1:user1)

是不是fcgi的端口都不一样？

每个用户给一个端口？

user1 9001

user2 9002

作者: Kokgog 时间: 2012-4-23 16:17

樱桃大丸子发表于 2012-4-23 16:12
是不是fcgi的端口都不一样？

每个用户给一个端口？

嗯, 用tcp socket比较方便, 或者每个指定不同的unix socket路径也成,不过这里面也得注意权限问题, 我一般都用tcp socket做的

作者: 樱桃大丸子 时间: 2012-4-23 17:05

Kokgog 发表于 2012-4-23 16:17
嗯, 用tcp socket比较方便, 或者每个指定不同的unix socket路径也成,不过这里面也得注意权限问题, 我一般 ...

我果断lnmpa了

另外大牛，能写一份完整的文档嘛 = =我非常感兴趣

作者: Kokgog 时间: 2012-4-23 18:36

樱桃大丸子发表于 2012-4-23 17:05
我果断lnmpa了

另外大牛，能写一份完整的文档嘛 = =我非常感兴趣 ...

http://www.loc.888543.xyz/thread-88841-1-1.html

我是用这种办法跑的...所以新建删除神马的..只要操作相应配置文件就行了...

欢迎光临全球主机交流论坛 (https://loc.888543.xyz/)