Hello All.<br><br>Thanks for the feedback.<br><br>Igor, as for the jail, it&#39;s nothing nginx specific, but as a relative FreeBsd newbie, it&#39;s a little overwhelming to setup the jail. I&#39;ve gotten most of the way there but usually am at a loss at the last few steps.<br>
<br>I&#39;ve moved my ftpd to listen only on the internal network now and so now the only internet facing daemons I have are sshd (running on a non-standard port with root logins disabled) and the nginxd which I will chroot now. I think this along with ipfw should be safe enough for now until I have a better handle on freebsd.<br>
<br>As always, thanks for your helps guys. And as the original poster of the &#39;config for static files&#39;, I&#39;ve now finalized the setup and configs and ran ab against it and am consistently clocking in 6000 RPS when running ab against it from&nbsp; a remote machine. This really is quite amazing.<br>
<br><br><div class="gmail_quote">On Fri, Apr 11, 2008 at 1:25 PM, Ed W &lt;<a href="mailto:lists@wildgooses.com">lists@wildgooses.com</a>&gt; wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">



  

<div bgcolor="#ffffff" text="#000000"><div class="Ih2E3d">
Cliff Wells wrote:
<blockquote type="cite">
  <pre>On Fri, 2008-04-11 at 05:36 -0400, Amer Shah wrote:
  </pre>
  <blockquote type="cite">
    <pre>I&#39;m about to throw the towel in. I was wondering how big a deal is it
to not run it in a jail. Is chrooting it sufficient. What do people
around here normally
do ?
    </pre>
  </blockquote>
  <pre>I usually run it as a normal process (as user nginx).  It&#39;s the
applications I worry about more than the web server itself.  Since Nginx
(unlike a typical Apache configuration), doesn&#39;t run applications within
its own process space (unlike Apache&#39;s mod_php, mod_python, etc), it&#39;s
fairly easy to run those applicatons under separate users and this
greatly alleviates many security risks.
  </pre>
</blockquote>
<br></div>
Have you played with any MAC schemes, eg grsecurity?&nbsp; Quite good for
locking a user into a defined set of directories and you can even limit
permissions to do stuff like incoming or outgoing net connections (why
would your PHP user need to create an outgoing network connection other
than when the user account is compromised...).&nbsp; This can greatly
decrease the damage an attacher can do<br>
<br>
Ed W<br>
</div>

</blockquote></div><br>