為什麼給nginx服務使用普通使用者:
預設情況下nginx的master程序使用的使用者root,worker程序使用的是nginx指定的普通使用者,使用root使用者跑nginx的master程序有兩個問題。
1.管理使用者必須是root,這樣使的最小化分配許可權遇到問題
2.使root跑nginx服務,一旦**出現了漏洞,使用者就可以輕鬆的獲得伺服器的root許可權。
配置實戰:
1.常見普通使用者,通過普通使用者啟動nginx:
#useradd inca
#su - inca
#pwd
#mkdir conf logs www
#echo inca > www/index.html
2.配置nginx配置檔案
簡單說明:
需要單獨制定pid,使用者。location下的目錄,以及預設**根目錄所有引數的值要配置到/home/inca使用者家目錄下
特權使用者root使用的80埠,改為普通使用者使用的埠,在1024以上
啟動nginx:
配置好客戶端進行測試:
[root@localhost ~]# curl 192.168.1.251:8990/index.html
inca
解決普通埠非80提供問題。
可以通過負載均衡web服務進行轉換。可以haproxy nginx f5等
本次解決方案優點;
給nginx服務降權,讓**更安全
按使用者設定站點許可權,讓站點更安全
不必要給幾把開發root許可權
可實現責任劃分(劃重點)
redis 普通使用者啟動
redis 服務因配置不當,可被攻擊者惡意利用。黑客借助 redis 內建命令,可將現有資料惡意清空 如果 redis 以 root 身份執行,黑客可往伺服器上寫入 ssh 公鑰檔案,直接登入伺服器。對公網開放,且未啟用認證的 redis 伺服器 注意 以下操作,均需重啟 redis 後才能生效。1...
nginx 普通使用者使用80埠啟動nginx
cd usr local nginx sbin chown root nginx chmod u s nginx 優點是,方便簡單,缺點是,既然sudo許可權都不給了。這個set uid 最後也是讓nginx執行在root許可權下。ps ef grep nginx 檢視的時候,nginx的主程序是執...
普通使用者裝配MySQL 普通使用者裝配MySQL
普通使用者安裝mysql linux這點很好,即使沒有許可權,也可以將自己想要的程式什麼的安裝到自己有許可權的目錄下。介紹一下怎麼在非root用 許可權下安裝mysql 參考 二 編譯 1 打上補丁 解壓mysql,並進入mysql 5.1.42目錄後,執行 patch np1 i mysql 5....