centos – NGINX正在使用Apache权限读取文件,是不是错了?
作者:互联网
我有一台服务器 – S1 – 使用Apache作为其网络服务器,另一台服务器-S2 – 运行NGINX作为其网络服务器. S2安装在S1中,S1使用NFS将文件上传到S2.
因此,NGINX Server S2中新添加的文件拥有Apache的所有者和组.我提供文件没有问题,一切正常,但是我正在使用NGINX读取Apache文件是一个安全问题吗?这根本不对吗?如果是的话,我有什么选择?
更新1:配置文件中为NGINX设置的用户是nginx,而不是apache.
解决方法:
对于NFS服务器上每个文件的访问(读/写),客户端将用户的用户ID和组ID分配给NFS服务器.仅当NFS服务器确认用户标识和组标识确实可以访问该文件时,它才允许请求通过.
对于你的问题:
So newly added files in the NGINX Server, S2, has owner and group of
Apache. I’ve had no problem with serving files, everything is working
fine, but is it a security issue that I’m reading Apache files using
NGINX? Is it wrong at all? If yes so, what choices do I have??
首先,NGINX如何能够访问Apache创建的文件?在这里,我假设S1中的Apache进程正在创建文件.并且创建的文件是世界可读的(?).如果是,那可能是一个安全问题,取决于您的背景.通常,Apache进程创建的文件是全局可读的,除非启动文件创建的脚本还具有显式更改权限的代码.你可能想看看它.
在S1上可能存在Apache的用户ID和组ID,与S2上的NGINX的用户ID和组ID匹配.或者如果不是这种情况,则包含这些文件的目录是世界可读的,其中打开了读取和可执行位(另一个安全问题),因此除了Apache(在S1上)之外,任何人都可以访问这些目录.
如果NGINX和Apache使用特权端口运行,您可能需要非常小心.您正在运行的NGINX / Apache版本的任何已识别的权限提升或根漏洞漏洞都可能允许黑客访问您的服务器.如果NGINX / Apache中的一个持有非常敏感的数据,那么您将提供一种通过其他服务器实现此目的的方法.
虽然外部世界可能不知道,但NGINX进程与Apache共享相同的文件夹,任何对S1或S2具有本地shell访问权限的人最终都可以利用漏洞获取对其他服务器的访问权限.
如果除了在服务器/进程之间共享文件之外没有其他选项,您可能需要查看以下内容:
– 文件读写权限
– 文件夹访问权限
如果共享文件是源文件,则建议它们是版本控制存储库(如GIT)的一部分,并且在两个位置检出最新代码(这最终意味着您要维护两个副本).
如果您的用例已知,那么更好的替代方案可能来自其他人.
标签:nginx,security,centos,webserver,apache-httpd 来源: https://codeday.me/bug/20190814/1656458.html