那些遇到过的问题

如何在 debian wheezy(运行 systemd)上锁定 nginx?

ash*_*eyh 8 debian nginx systemd

nginx-common 包自带的systemd单元文件以root身份运行master进程,这让我很紧张。

我认为它以 root 身份运行的唯一原因是绑定端口 80,但作为 root 用户太过分了,所以我以普通用户身份运行它并赋予它CAP_NET_BIND_SERVICE能力。

我已将单元文件调整为如下所示:

[Service]
Type=forking
PIDFile=/var/run/nginx/nginx.pid
ExecStartPre=/usr/sbin/nginx -t -q -g 'daemon on; master_process on;'
ExecStart=/usr/sbin/nginx -g 'daemon on; master_process on;'
ExecReload=/usr/sbin/nginx -g 'daemon on; master_process on;' -s reload
ExecStop=/usr/sbin/nginx -s quit
CapabilityBoundingSet=CAP_NET_BIND_SERVICE
Capabilities=cap_net_bind_service+=ep
user=www-data
Run Code Online (Sandbox Code Playgroud)

这种方法有什么缺点吗?nginx 是否希望成为 root 用户?有没有更好的方法来锁定 nginx?我知道有些人喜欢 chroot 它,但这似乎很麻烦。

eta*_*klo 5

master 进程必须以 root 身份运行,否则 nginx 将无法绑定到端口 80,因为这是一个特权端口。

http://www.w3.org/Daemon/User/Installation/PrivilegedPorts.html

您应该确保工作进程使用不同的用户。可以在您的nginx.conf.

  • 如果你有`CAP_NET_BIND_SERVICE` 能力,那么你不需要是root 用户来绑定一个特权端口。 (5认同)

归档时间:

查看次数:

1079 次

最近记录:

12 年,3 月 前
相关归档
如何在 Debian 上启用非自由软件包? 56
你如何有条件地在 Nginx vhost 中包含文件? 16
如何升级从源安装的软件? 10
如何在 nginx 中为 tar.bz2 或 tar.gz 文件定义 mime 类型? 7
Linux中每个进程是否有最多打开的文件? 7
nginx 记录到系统日志 - 连接被拒绝 5
在 bash 中显示完整的主机名? 5
如何为网络服务器产生的进程设置环境变量? 4
磁盘空间不足,如何在不创建副本的情况下进行 tar 4
如何保证VPS的CPU时间? 0
难疑归档
如何获取 Amazon S3 存储桶的大小? 362
rm 在包含数百万个文件的目录上 118
防止重复运行的 cron 作业 116
创建子域需要什么类型的 DNS 记录? 98
你可以有多个 ~/.ssh/config 文件吗? 98
Splunk 的替代品? 76
删除“www”并使用 nginx 重定向到“https” 70
为什么 SSH 密码认证存在安全风险? 69
git 从远程存储库中获取特定修订 63
“登录”和“交互式” bash shell 之间有什么区别 54