Из этих двух опций первое предпочтительно. Путем добавления пользователя к nginx
группа можно непреднамеренно предоставить им доступ к другим файлам, очень важным для надлежащего выполнения nginx. Если Вы просто изменяете полномочия на /usr/share/nginx/html
, Вы знаете точно, что Вы выставляете.
Нет никаких расхождений.
IN=eth1 OUT= SRC=192.168.1.108 DST=192.168.1.58 PROTO=TCP SPT=47365 DPT=22
В журнале брандмауэра eth1 указан по адресу 192.168.1.58, но таблица маршрутизации помещает его в 192.168.1.10.
Нет, брандмауэр сообщает, что получил пакет от eth1
с адресом 192.168.1.58. Это неудивительно: любой человек в вашей сети может отправить любой поддельный пакет на интерфейс, к которому подключен ваш сервер. Если это проблема, обвините отправителя.
Обратите внимание, однако, что ядро Linux по умолчанию использует модель слабого хоста. Это означает, что он примет пакет как свой, если адрес назначения совпадает с адресом на любом из его интерфейсов. Таким образом, ядро примет пакет как законный.
Эта слабая модель хоста также отражается на поведении ARP: ядро по умолчанию отвечает на ARP для адреса 192.168.1.58 на любом интерфейсе. Если все интерфейсы подключены к одному и тому же сегменту сети, то кто-то, запрашивающий 192.168.1.58, может оказаться на любом из ваших трех интерфейсов. Если это не нужно, установите sysctl arp_ignore
на 1.
Кроме того, ваши таблицы маршрутизации необычны, если не ошибаются. Если вы попросите ядро подключиться к 192.168.1.108, какой интерфейс оно должно использовать? Фактический ответ дает команда ip route get 192.168.1.108
. Возможно, это не то, чего вы ожидаете.
arp_ignore
на 1.
Кроме того, ваши таблицы маршрутизации необычны, если не ошибаются. Если вы попросите ядро подключиться к 192.168.1.108, какой интерфейс оно должно использовать? Фактический ответ дает команда ip route get 192.168.1.108
. Возможно, это не то, чего вы ожидаете.
arp_ignore
на 1.
Кроме того, ваши таблицы маршрутизации необычны, если не ошибаются. Если вы попросите ядро подключиться к 192.168.1.108, какой интерфейс оно должно использовать? Фактический ответ дает команда ip route get 192.168.1.108
. Возможно, это не то, чего вы ожидаете.