Если в системе неправильные права на файлы, то нужно уметь корячить конфиги - Администрирование серверов

Проблема безопасности: nginx (+ISPManager, как частный случай)

esetnod · 2012-01-06T19:20:18.0000000Z

Доброго времени. Обнаружилась одна весьма неприятная проблема безопасности nginx, как частный случай, с ISPManager (конфиг). Суть следующая: nginx свободно ходит по симлинкам (не имея контролирующих подобное поведение директив), опять же, в отличие от хардлинка, не надо иметь соответствующих прав, чтобы залинковать файл. Из коробки, в ISPManager (может и в других панелях, поддерживающих его), создается отдельный локейшен под статику, через который nginx ходит прямо к файлам. Достаточно иметь доступ к созданию файлов (линков, хоть даже через менеджер файлов манагера), чтобы через линк получить доступ с правами воркера nginx к любому файлу. Пример: Имеем аккаунт, виртуалхост и локейшен обрабатываемый стандартной регуляркой ~* ^.+\.(jpg|jpeg|gif|png|svg|js|css|mp3|ogg|mpe?g|avi|zip|gz|bz2?|rar)$ К примеру, владелец user1. Делается линк в корне сайта, например something.css -> /$homedirs/user2/$site/config.php, не доступный для чтения самим user1(mgrsecure), обращаемся по http к something.css, получаем конфиг в красивом виде. Естественно, должен читаться с правами nginx. Учитывая, что для раздачи статики в хоумдиры nginx'у попадать надо, по пути нормальных прав не организуешь, а в рамках шареда, сущие единицы следят за правами своих файлов. На вскидку подумал над тем как полечить, несколько костылей: -С Freebsd шибко не знаком, но где-то натыкался на параметр монтирования nosymfollow, возможно оно. -Временно отказаться от прямой раздачи статики, оставив в качестве только буферизующего прокси, не совсем решение, но вариант. -Более-менее красивый вариант (на мой взгляд), проверять файл на линк. Из доки следует, что -f должен быть true, только если файл регулярный, однако на практике не работает, из коробки -f не отличает файл от линка. Ковырнул, стало понятно что файл проверяется через stat(), на сколько понимаю, будет проверен файл, на который указывает линк. Попробовал lstat() , теперь -f линки от файлов стал отличать, (не уверен, не вылезет ли каких проблем, но на вскидку - нет). /src/os/unix/ngx_files.h А суть в следующем: проверять запрашиваемый файл, в каждом локейшене для статики, на предмет не линк ли он, и если линк, отдавать 403, примерно так: if ( !-f $request_filename ) { return 403; } //Основное Дополнительно: if ( -d $request_filename ) { break; } //Если у кого-то есть диры с названиями, похожими на статический файл, и нужен оттуда индекс корня, выше проверки на линк. if ( $realpath_root != $document_root ) { return 403; } // На случай, если есть статически заданные локейшены, обрабатываемые прямо nginx'ом (от промежуточных линков в пути). Для новых виртуалхостов, можно добавить сабж в server.templ, чтобы манагер добавлял при создании. //Если кто решит временно подшиться через проверку файла, существующий конфиг обработал новыми правилами так: (на точность тоже не претендует, ибо в попыхах, но у меня чисто отработал (локейшены манагеровские, обычные)). awk -v STATE=OUT '{ if ( $0 ~ /location \~\* \^\.\+\\\.\(jpg/ ) { STATE="IN" }; if ( $0 ~ /\;\n\t\t\}/ ) { STATE="OUT" }; if ( STATE=="IN" && $0 ~/location \~\* \^\.\+\\\.\(jpg/ ) { print $0; print "\t\t\tif ( !-f $request_filename ) { return 403; }"; } else { print $0 } }'

822

Andreyka

7 января 2012, 06:09

#11

Или можно написать скрипт котрый ставит правильные права на php и пускать по крону

Быстро и грязно

Не стоит плодить сущности без необходимости

364

pupseg

7 января 2012, 08:12

#12

подшился по автору. попробывал сам себя сломать до - получилось. после - не получилось.

Качественная помощь в обслуживании серверов. (/ru/forum/661100) Бесплатных консультаций не даю, не помогаю, не обучаю. Минималка от 100$. Как пропатчить KDE-просьба не спрашивать. Есть форумы (http://linux.org.ru) и полезные сайты (http://www.opennet.ru/).

M

278

myhand

7 января 2012, 09:12

#13

Andreyka:
Или можно написать скрипт котрый ставит правильные права на php и пускать по крону

Что, кроме пехепе - других языков программирования не знаешь? И файлов, которые может быть интересно слинковать - кроме быдлокода нет?

pupseg:
подшился по автору. попробывал сам себя сломать до - получилось. после - не получилось.

Уж лучше просто открутить эту чудо-раздачу статики nginx. Если весь ее смысл: "так сделали хлопцы в ispmanager по-умолчанию".

Абонементное сопровождение серверов (Debian) Отправить личное сообщение (), написать письмо ().

Apache MPM Event Большая нагрузка на диск Претензия к Mchost.ru

M

235

madoff

7 января 2012, 09:15

#14

myhand

Уж лучше просто открутить эту чудо-раздачу статики nginx. Если весь ее смысл: "так сделали хлопцы в ispmanager по-умолчанию".

nginx там не по умолчанию.

Да и линки надо раскрыть ещё.

Администратор Linux,Freebsd. построения крупных проектов.

822

Andreyka

7 января 2012, 09:33

#15

myhand:
Что, кроме пехепе - других языков программирования не знаешь

Определенно, сегодня ты явно чукча.

M

278

myhand

7 января 2012, 09:34

#16

madoff:
nginx там не по умолчанию.

Я имел в виду, что (B) раздача статики nginx - там по умолчанию. Ставишь nginx, действие (A) - получаешь автоматически (B). Доступно?

822

Andreyka

7 января 2012, 09:44

#17

Если в системе неправильные права на файлы, то есть два метода решения:

A. Ставить правильные права

B. Корячить всякие openbasedi, followsymlinks, и откусывать раздачу статики у nginx

Для A нужно уметь правильно настраивать сервер изначально. Для B нужно уметь корячить конфиги.

P.S. Некоторые хостеры по этому и ssh давать не хотят, и откусывают кучу функций в php. Но при этом забывают про CGI, где все это можно успешно колупнуть.

Ошибка при загрузке темы Бюджетный хостинг для 5 Уязвимость CGI -ISPmanager

134

esetnod

7 января 2012, 13:19

#18

kuzma.bukin:
Обещают счастье через 3 недели http://trac.nginx.org/nginx/milestone/1.1.14

Интересно, будет ли бэкпорт в 1.0 (0.8, 0.7), если нет, то пока до дистрибутивов дойдет, уже ненадо будет.

Хотя даже если будет, не факт что мэйнтейнеры пакеты пересоберут. Похоже, действительно проще отказаться от прямой раздачи статики до лучших времен.

P.s. Что касается -f, пару часов назад отписал в тикет на trac, закрыли как invalid.

Быстрый хостинг на SSD от $0.99 (http://just-hosting.ru/) | OpenVZ (http://just-hosting.ru/vds.html) и KVM (http://just-hosting.ru/vds-kvm.html) VDS от $7.95

OVH отзывы Подскажите VDS под игровой Хостинг - Zenon N.S.P.

215

Boris A Dolgov

7 января 2012, 13:22

#19

esetnod:
Интересно, будет ли бэкпорт в 1.0 (0.8, 0.7), если нет, то пока до дистрибутивов дойдет, уже ненадо будет.

Хотя даже если будет, не факт что мэйнтейнеры пакеты пересоберут. Похоже, действительно проще отказаться от прямой раздачи статики до лучших времен.

P.s. Что касается -f, пару часов назад отписал в тикет на trac, а сейчас баги уже и след простыл, тупо потёрли, даже не в invalid перевели.

В 1.0 будет просто бекпортиться. Мы соберём для rhel5/6 и выложим :)

http://trac.nginx.org/nginx/ticket/81 <- баг остался и invalid, и я с этим согласен :)

С уважением, Борис Долгов. Администрирование, дешевые лицензии ISPsystem, Parallels, cPanel, DirectAdmin, скины, SSL - ISPlicense.ru (http://www.isplicense.ru/?from=4926)

134

esetnod

7 января 2012, 13:26

#20

Да, я там выше пост уже подправил, не разглядел сразу.

В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи

Как удалить плохие SEO-ссылки и очистить ссылочную массу сайта

Проблема безопасности: nginx (+ISPManager, как частный случай)