Názor k článku Web server Nginx bez práv roota s pomocí systemd od Milan Keršláger - Zapomínáte na SELinux apod - root už není...

  • Článek je starý, nové názory již nelze přidávat.
  • 18. 6. 2020 10:34

    Milan Keršláger

    Zapomínáte na SELinux apod - root už není absolutní root a impakt master procesu httpd je v podstatě nula. Je zde též riziko komplexnosti kódu - pokud něco vylepšíte tím, že to bude složitější, není jisté zda si celkově nepohoršíte (a nenaděláte problémy chybnou konfigurací). FIPS (a jiné certifikace) komplikují přijímání záplat a refaktoring kódu - jenže o to jde (omezit zbrklé změny, jako kdysi třeba v Debianu).

    Poslední odstavec - asi jste myslel oddělit krypto od uživatelského kódu - to se řeší přes php-fpm a fastcgi.

    Obecně OpenSSL rozhodně není takový bezpečnostní průšvih, jak naznačujete - viz můj odkaz výše. Jsou tam obskurní části/moduly, ale ty se právě do solidních distribucí nedostanou, případně jde o chyby s nízkými dopady na bezpečnost. To že nějaký projekt má více CVE, ještě neznamená, že je ten kód tak špatný (případně mluvíte o 10+ let staré historii).