那些遇到过的问题

如何在 debian wheezy(运行 systemd)上锁定 nginx?

ash*_*eyh 8 debian nginx systemd

nginx-common 包自带的systemd单元文件以root身份运行master进程,这让我很紧张。

我认为它以 root 身份运行的唯一原因是绑定端口 80,但作为 root 用户太过分了,所以我以普通用户身份运行它并赋予它CAP_NET_BIND_SERVICE能力。

我已将单元文件调整为如下所示:

[Service]
Type=forking
PIDFile=/var/run/nginx/nginx.pid
ExecStartPre=/usr/sbin/nginx -t -q -g 'daemon on; master_process on;'
ExecStart=/usr/sbin/nginx -g 'daemon on; master_process on;'
ExecReload=/usr/sbin/nginx -g 'daemon on; master_process on;' -s reload
ExecStop=/usr/sbin/nginx -s quit
CapabilityBoundingSet=CAP_NET_BIND_SERVICE
Capabilities=cap_net_bind_service+=ep
user=www-data
Run Code Online (Sandbox Code Playgroud)

这种方法有什么缺点吗?nginx 是否希望成为 root 用户?有没有更好的方法来锁定 nginx?我知道有些人喜欢 chroot 它,但这似乎很麻烦。

eta*_*klo 5

master 进程必须以 root 身份运行,否则 nginx 将无法绑定到端口 80,因为这是一个特权端口。

http://www.w3.org/Daemon/User/Installation/PrivilegedPorts.html

您应该确保工作进程使用不同的用户。可以在您的nginx.conf.

  • 如果你有`CAP_NET_BIND_SERVICE` 能力,那么你不需要是root 用户来绑定一个特权端口。 (5认同)

归档时间:

查看次数:

1079 次

最近记录:

12 年,3 月 前
相关归档
ZFS 无限重同步 30
使用 X-Forwarded-For 标头限制 nginx 速率 26
为什么我的 Web 服务器会在高负载时通过 TCP 重置断开连接? 12
如何为在 Debian Jessie 上运行的守护进程提高文件描述符的最大数量? 7
如何使用 nginx 作为具有多个 IP 和 SSL 的反向代理? 6
CentOS 为 Debian 调整等价物 6
运行 ps aux 时,它显示 uids 而不是用户 3
Nginx 拒绝连接到端口 443 2
nginx -t 上的 Nginx“ngx_http_geoip_module.so”错误 1
关于运行 Web 服务器的基本问题 0
难疑归档
还有其他人在闰日期间遇到过 Linux 服务器崩溃率很​​高的情况吗? 363
如何使用 Fail2Ban 正确解禁 IP 257
FreeBSD:名为 ^C 的目录(真的!) - 如何删除? 128
挂载 CIFS 主机已关闭 121
我可以隐藏所有服务器/操作系统信息吗? 112
如何使用命令行界面连接到 Windows 服务器?(命令行界面) 101
如何让 bash 脚本在执行之前打印出每个命令? 95
方向会影响硬盘寿命吗? 72
如何从文件名中删除无效字符? 69
nginx:使用所有标头记录完整的请求/响应? 59