Проблема безопасности: nginx (+ISPManager, как частный случай)

Доброго времени.

Обнаружилась одна весьма неприятная проблема безопасности nginx, как частный случай, с ISPManager (конфиг).

Суть следующая: nginx свободно ходит по симлинкам (не имея контролирующих подобное поведение директив), опять же, в отличие от хардлинка, не надо иметь соответствующих прав, чтобы залинковать файл.

Из коробки, в ISPManager (может и в других панелях, поддерживающих его), создается отдельный локейшен под статику, через который nginx ходит прямо к файлам.

Достаточно иметь доступ к созданию файлов (линков, хоть даже через менеджер файлов манагера), чтобы через линк получить доступ с правами воркера nginx к любому файлу.

Пример:

Имеем аккаунт, виртуалхост и локейшен обрабатываемый стандартной регуляркой ~* ^.+\.(jpg|jpeg|gif|png|svg|js|css|mp3|ogg|mpe?g|avi|zip|gz|bz2?|rar)$

К примеру, владелец user1.

Делается линк в корне сайта, например something.css -> /$homedirs/user2/$site/config.php,

не доступный для чтения самим user1(mgrsecure), обращаемся по http к something.css, получаем конфиг в красивом виде.

Естественно, должен читаться с правами nginx. Учитывая, что для раздачи статики в хоумдиры nginx'у попадать надо, по пути нормальных прав не организуешь, а в рамках шареда, сущие единицы следят за правами своих файлов.

На вскидку подумал над тем как полечить, несколько костылей:

-С Freebsd шибко не знаком, но где-то натыкался на параметр монтирования nosymfollow, возможно оно.

-Временно отказаться от прямой раздачи статики, оставив в качестве только буферизующего прокси, не совсем решение, но вариант.

-Более-менее красивый вариант (на мой взгляд), проверять файл на линк.

Из доки следует, что -f должен быть true, только если файл регулярный, однако на практике не работает, из коробки -f не отличает файл от линка.

Ковырнул, стало понятно что файл проверяется через stat(), на сколько понимаю, будет проверен файл, на который указывает линк. Попробовал lstat() , теперь -f линки от файлов стал отличать, (не уверен, не вылезет ли каких проблем, но на вскидку - нет). /src/os/unix/ngx_files.h

А суть в следующем: проверять запрашиваемый файл, в каждом локейшене для статики, на предмет не линк ли он, и если линк, отдавать 403, примерно так:

if ( !-f $request_filename ) { return 403; } //Основное

Дополнительно:

if ( -d $request_filename ) { break; } //Если у кого-то есть диры с названиями, похожими на статический файл, и нужен оттуда индекс корня, выше проверки на линк.

if ( $realpath_root != $document_root ) { return 403; } // На случай, если есть статически заданные локейшены, обрабатываемые прямо nginx'ом (от промежуточных линков в пути).

Для новых виртуалхостов, можно добавить сабж в server.templ, чтобы манагер добавлял при создании.

//Если кто решит временно подшиться через проверку файла, существующий конфиг обработал новыми правилами так: (на точность тоже не претендует, ибо в попыхах, но у меня чисто отработал (локейшены манагеровские, обычные)).

awk -v STATE=OUT '{ if ( $0 ~ /location \~\* \^\.\+\\\.\(jpg/ ) { STATE="IN" }; if ( $0 ~ /\;\n\t\t\}/ ) { STATE="OUT" }; if ( STATE=="IN" && $0 ~/location \~\* \^\.\+\\\.\(jpg/ ) { print $0; print "\t\t\tif ( !-f $request_filename ) { return 403; }"; } else { print $0 } }'