rb612's questions

我目前在 Ubuntu 上的 Apache PHP 服务器前运行 Nginx 反向代理。我log.txt在为我的网站提供 PHP 文件的同一目录中有一个文件。PHP 通过 API 活动写入此日志文件。在网络浏览器中访问时，我可以将 url 从更改为访问日志文件，这是完全不安全lookup.php的。log.txt我只想在通过 SSH 登录时访问日志文件。

我将日志文件的所有权更改为www-dataPHP 当前正在运行的组。我想要发生的是 PHP 文件能够写入此日志文件，但用户无法导航到 Web 浏览器中的日志文件路径并显示它。我认为问题在于，由于 Nginx 也运行 as www-data，通过将日志文件所有者更改为www-dataPHP 可以写入它，Nginx 现在能够读取它。

以下是我正在考虑的一些想法，但我不确定它们是否存在重大安全漏洞：

• 将日志文件更改为文件所有者的只写文件，www-data. 我正在做研究，这似乎是一种罕见的方法。

• 使 PHP 和 Nginx 作为单独的组运行，为 PHP 提供一个 rwx 访问权限，而对 nginx 不提供任何访问权限。

• 在 Web 根目录之外创建一个新目录，这样就没有与该文件关联的 Web URL，但该目录由www-data（因此 PHP 和 Nginx）拥有。我不确定这是否有漏洞。

• 禁止通过 Nginx 访问日志文件。这对我来说有点“hacky”。

哪条路线合适？

我们在某个 IP 上运行一个开发服务器，我们的 API 在端口 5000 上公开，nginx 在 80 上侦听。但是，当向端口 5000 发出 HTTPS 请求时，整个后端会崩溃。因此，我注意到一个漏洞，当一个访问https://SERVER_IP:5000，因为它无法处理 HTTPS 请求，请求挂起并且整个后端停止（因此 API 也会因任何其他请求而挂起）。我只希望该请求永远不会到达后端。

我为 UFW 设置了以下规则。

To                         Action      From
--                         ------      ----
8000                       ALLOW       Anywhere
22/tcp                     ALLOW       Anywhere
80                         ALLOW       Anywhere
5000                       ALLOW       Anywhere
443/tcp                    DENY        Anywhere
8000 (v6)                  ALLOW       Anywhere (v6)
22/tcp (v6)                ALLOW       Anywhere (v6)
80 (v6)                    ALLOW       Anywhere (v6)
5000 (v6)                  ALLOW       Anywhere (v6)
443/tcp (v6)               DENY        Anywhere (v6)

但是，当导航到https://SERVER_IP:5000时，服务器仍然崩溃。我认为这是因为 https 流量不一定来自端口 443，而是 5000，并且它是公开的（它只需要用于 HTTP 流量）。那么有什么方法可以通过 UFW 禁止 5000 上的 HTTPS 流量，或者我是否必须使用 nginx 配置一些东西？