请选择 进入手机版|继续访问电脑版
发新帖

nginx 的配置中, user nginx nginx; 指定 nginx 运行的用户及用户组,这个用户名 用 ...

[复制链接]
6151 10

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
nginx 的配置中,user nginx nginx;  指定 nginx 运行的用户及用户组,这个用户名 用 useradd nginxuser 创建了后。需要给他什么权限 以限给他什么组? 怎么设置他的组与权限。

让 user nginxuser ;
可以正常运行?

举报 使用道具

回复

精彩评论10

江海志  管理员  发表于 2017-8-26 00:00:43 | 显示全部楼层
根据你的 Nginx 提供服务所需的最小权限给。如果只是提供静态文件服务,只需要给到能读取静态文件的权限。

举报 使用道具

回复
bb2018  新手上路  发表于 2017-8-26 11:51:07 | 显示全部楼层
@RH
就是只提供静态文件
那要怎么设置新用户 nginxuser 的权限 及用户组呢?

举报 使用道具

回复
bb2018  新手上路  发表于 2017-8-26 16:17:47 | 显示全部楼层
看到三个回复。进来了一看只有两个。。。。。

3 回复

举报 使用道具

回复
cxbig  新手上路  发表于 2017-8-27 04:20:46 | 显示全部楼层
没那么多讲究的,保证 server root 可以被该用户访问到即可
比方说是 /var/www/project
用 sudo -u nginxuser ls /var/www/project 就可以验证该用户是否拥有访问权限
这类系统服务用户可以指定默认 shell 为 /sbin/nologin, /bin/true|false 来避免远程登录

另外切换新用户需要指定稳定的 client_body_temp_path,不然缓存可能会有写入权限的问题

举报 使用道具

回复
noanylove  注册会员  发表于 2017-8-27 11:38:34 | 显示全部楼层
可以创建一个 nginx 用户,nginx 组,然后什么权限都不给,shell 指定为 nologin 或者 false 都行

举报 使用道具

回复
msg7086  新手上路  发表于 2017-8-28 02:31:06 | 显示全部楼层
Debian 中的惯例是拿 www-data 权限,然后网站路径 /var/www 分配给 www-data 就行了。

举报 使用道具

回复
miaomiao0323  新手上路  发表于 2017-8-28 07:05:56 | 显示全部楼层
最小权限原则,nginxuser 对静态资源有只读权限就行

举报 使用道具

回复
bb2018  新手上路  发表于 2017-8-28 09:17:25 | 显示全部楼层
@miaomiao0323

这个。。怎么设置 nginxuser  对静态资源有只读权限就行?

举报 使用道具

回复
bb2018  新手上路  发表于 2017-8-29 06:45:53 | 显示全部楼层
@cxbig

sudo -u nginxuser ls /var/www/project
我这样就只列出 project 下面的文件了。
这样就说明可以有访问权限?

举报 使用道具

回复
cxbig  新手上路  发表于 2017-8-29 17:00:47 | 显示全部楼层
@bb2018 不,只是该文件夹的访问权限

这只是一个例子,如果你想彻底了解文件夹下所有文件和文件夹的权限,可以用 find 命令
-type d  //只寻找文件夹
-perm -u=rx  //(至少有)读和执行的权限,前面加!号去反

sudo -u nginxuser find /var/www/project -type d ! -perm -u=rx -ls
用该用户的名义查找文件夹和子文件夹,列举所有没有读+执行权限(文件夹基本权限)的所有文件夹。
这命令找到了某个文件夹,那么里面的东西也是看不见的,你要给了权限再运行一次去探索内部

同理可以检查文件
sudo -u nginxuser find /var/www/project -type f ! -perm -u=r -ls

这些只是基本的检查,至于极限的安全配置,你得读读相关文章了,几句话说不清楚。

举报 使用道具

回复
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表