<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
Cliff Wells wrote:
<blockquote cite="mid:1207932479.4390.7.camel@portableevil.develix.com"
 type="cite">
  <pre wrap="">On Fri, 2008-04-11 at 05:36 -0400, Amer Shah wrote:
  </pre>
  <blockquote type="cite">
    <pre wrap="">I'm about to throw the towel in. I was wondering how big a deal is it
to not run it in a jail. Is chrooting it sufficient. What do people
around here normally
do ?
    </pre>
  </blockquote>
  <pre wrap=""><!---->
I usually run it as a normal process (as user nginx).  It's the
applications I worry about more than the web server itself.  Since Nginx
(unlike a typical Apache configuration), doesn't run applications within
its own process space (unlike Apache's mod_php, mod_python, etc), it's
fairly easy to run those applicatons under separate users and this
greatly alleviates many security risks.
  </pre>
</blockquote>
<br>
Have you played with any MAC schemes, eg grsecurity?&nbsp; Quite good for
locking a user into a defined set of directories and you can even limit
permissions to do stuff like incoming or outgoing net connections (why
would your PHP user need to create an outgoing network connection other
than when the user account is compromised...).&nbsp; This can greatly
decrease the damage an attacher can do<br>
<br>
Ed W<br>
</body>
</html>