[nginx] [php-fpm] Met opendir('../') parent dirs zichtbaar - Softwareontwikkeling

vrijdag 9 mei 2014 15:23

Acties:

Wtfuzzle

Topicstarter

Na nginx en php-fpm geïnstalleerd, een nieuwe user aangemaakt en /home/username/html als webroot ingericht te hebben; kon ik met opendir('../../../../') toch nog helemaal terug naar de / van de server en dus alle folders inzien en dergelijke.

In de map van een andere user komen lukt niet, dan krijg ik niks te zien. Dus er gaat wel wat goed!

nginx draait als user nginx en de php-fpm pool (127.0.0.1:9001) maak gebruik van de user username. Ik kan onmogelijk alle directories op de server chmod'en om te zorgen dat deze user er niet meer bij kan. Lijkt me ook niet gebruikelijk, maar ik kan niet vinden hoe andere mensen dat oplossen met deze combinatie van nginx en php-fpm. De verschillende pools lossen op dat ze niet in elkaars /home/username kunnen komen, maar wat daarboven?

Kortom; ik wil niet dat php /home kan uitlezen en alle directories daarboven.

vrijdag 9 mei 2014 15:25

Acties:

borft

php safe mode aanzetten? Dit lijkt me niet de verantwoordelijkheid van de web server, maar meer van de php engine. Als alternatief zou je kunnen kijken naar chroot opties...

vrijdag 9 mei 2014 15:44

Acties:

TheNephilim

Wtfuzzle

Topicstarter

Thanks! ^^ chroot was inderdaad wat ik zocht!

code:

1	chroot = /home/username/username.nl

en

code:

location ~ \.php$ {
    fastcgi_pass   127.0.0.1:9001;
    fastcgi_index  index.php;
    fastcgi_param  SCRIPT_FILENAME /html$fastcgi_script_name;
    include        fastcgi_params;
}

Nu nog even uitvinden of het chroot niet beter /home/username kan zijn en dan /username.nl/html$fastcgi_script_name.