NGINX читает файлы с разрешения Apache, не так ли?

У меня есть сервер – S1 – использование Apache в качестве его веб-сервера, а другой сервер -S2 – запуск NGINX в качестве его веб-сервера. S2 устанавливается в S1, а S1 загружает файлы на S2 с использованием NFS.

Поэтому недавно добавленные файлы на сервере NGINX, S2, имеют владельца и группу Apache. У меня не было проблем с подачей файлов, все работает нормально, но проблема с безопасностью, что я читаю файлы Apache с помощью NGINX? Это неправильно? Если да, то какие у меня варианты?

  • не удалось запустить nginx на centos 7
  • Нет модулей PHP после компиляции Apache
  • Правило перенаправления для Apache: добавление www в URL
  • Проблема с шифрованием / var / www и ikiwiki
  • Как получить услугу на удаленном сервере CentOS 7 для сохранения после выхода из системы?
  • Как установить mod_mono на Linux Mint?

  • ОБНОВЛЕНИЕ 1: пользователь, настроенный для NGINX в файле конфигурации, – nginx, а не apache.

  • Как сделать модуль динамически загружаемым на Debian?
  • Как получить услугу на удаленном сервере CentOS 7 для сохранения после выхода из системы?
  • Аутентификация аутентификации по нескольким доменам, но тот же подкаталог
  • Настройка Apache для запроса сертификата клиента
  • Subversion на сервере Ubuntu - проблемы с настройкой
  • Сервер Ubuntu 16.04 - Получите полный доступ к FTP / var / www /
  • One Solution collect form web for “NGINX читает файлы с разрешения Apache, не так ли?”

    Для каждого доступа (чтение / запись) к файлу на сервере NFS клиент делится идентификатором пользователя и идентификатором группы пользователя на сервере NFS. Только если сервер NFS подтверждает, что идентификатор пользователя и идентификатор группы действительно могут получить доступ к файлу, он разрешает прохождение запроса.

    По вашему вопросу:

    Поэтому недавно добавленные файлы на сервере NGINX, S2, имеют владельца и группу Apache. У меня не было проблем с подачей файлов, все работает нормально, но проблема с безопасностью, что я читаю файлы Apache с помощью NGINX? Это неправильно? Если да, то какие у меня варианты?

    Как, в первую очередь, NGINX может обращаться к файлам, созданным Apache? Здесь я предполагаю, что процесс Apache в S1 создает файлы. И созданные файлы являются читаемыми в мире (?). Если это так, это может быть вопрос безопасности, в зависимости от вашего контекста. Как правило, файлы, которые создает Apache-процесс, являются читаемыми в мире, если только сценарий, инициировавший создание файла, также не имеет кода для явного изменения прав. Вы можете взглянуть на него.

    Может быть, что user id и group id группы Apache на S1 соответствует user id и group id группы NGINX на S2. Или, если это не так, то каталоги, содержащие эти файлы, читаются в мире с включенными read and executable bits turned on (еще одна проблема безопасности), так что кроме Apache (на S1) каждый может получить доступ к этим каталогам.

    Если NGINX и Apache работают с привилегированными портами, вы можете быть очень осторожными. Любые выявленные уязвимости привилегий или уязвимости root-уязвимости ваших запущенных версий NGINX / Apache могут позволить хакеру получить доступ к вашему серверу. Если в одном из NGINX / Apache хранятся очень конфиденциальные данные, вы предоставляете возможность добраться до этого через другой сервер.

    В то время как внешний мир может не знать этого, процесс NGINX использует те же папки, что и Apache, любой, у кого есть доступ к локальной оболочке S1 или S2, в конечном итоге может использовать уязвимости для доступа к другому серверу.

    Если нет другого варианта, чем обмениваться файлами между серверами / процессами, вы можете посмотреть на них: – права на чтение и запись файлов – права доступа к папкам

    Если общие файлы являются исходными файлами, рекомендуется, чтобы они были частью репозитория управления версиями (например, GIT), и последний код был извлечен в обоих местах (что в конечном итоге означает, что вы поддерживаете две копии).

    Если ваш случай использования известен, лучшие альтернативы могут исходить от других.

    Linux и Unix - лучшая ОС в мире.