日更第11日: （翻）nginx加固之使用非特权用户运行ngin

使用非特权用户运行nginx

原文地址

• 更多nginx文档
• 更多linux相关文档

linux下一个很重要的通用原则: 程序只应拥有完成其工作所需的最小权限。这样，如果程序坏了，它对系统的损害是有限的。

仅仅通过更改进程所有者名称，在安全性方面并没有真正的区别。
而在安全方面，最小特权原则规定：进程实体在给定系统中实现其目标所必需的权限之外，不应该被授予更多的权限。这样，只有master进程作为root进程运行。

[root@localhost ~]# ps -ef|grep nginx
root       1049      1  0 00:02 ?        00:00:00 nginx: master process /usr/sbin/nginx
nginx      1051   1049  0 00:02 ?        00:00:00 nginx: worker process
nginx      1052   1049  0 00:02 ?        00:00:00 nginx: cache manager process
nginx      1053   1049  0 00:02 ?        00:00:00 nginx: cache loader process
root       1317   1297  0 00:03 pts/0    00:00:00 grep --color=auto nginx

如果您使用这个仓库:nginx 的安装包进行安装，关于最小权限的配置已配置完毕：

• master进程运行user: root
• worker进程运行user: nginx
• 目录权限
  • /var/log/nginx: 日志目录(nginx:nginx)
  • /var/cache/nginx: 缓存目录(nginx:nginx)
  • /var/dump/nginx: dump目录(nginx:nginx)
  • /etc/nginx: 配置目录(nginx:nginx)
  • /usr/share/nginx: 静态文件目录(nginx:nginx)