Вторник, 17 Март 2009
nginx: master без вечного root
Предлагаю общественности патч, который понижает привелегии у master процесса. Для старта по прежнему нужен root, но после старта все процессе будут от имени user в конфиге.
В тот же конфиг добавлена директива use_bind_capability, которая и управляет этим поведением. Но надо понимать, что за возможность сделать chown/rename для pid/log должен отвечать уже системный администратор.
Написано в: 22:12
|
3
комментария
|
|
теги:
nginx,
nginx patches,
patches,
tech
| постоянная ссылка
|
Добавить пост в:
Комментарии
Справедливости ради патч применим исключительно для linux. Судя по коду используется только CAP_NET_BIND_SERVICE. А как быть в случае с подключением очередного ssl-хоста, например, ключ которого будет принадлежать root:root с правами 0400? Получим permission denied?
Ага.
Права доступа к ключам, в этом случае, ложится на голову администратора. К логам и pid тоже. Вообще хочется поинтересоваться а чем смысл устанавливать такие права на ключи?
А про linux-only: так получилось что я использую nginx только в linux окружение.
Подразумевалось в общем работа с файлами доступными только root(у), которые не постоянно открыты master процессом.
Форма комментирования для «nginx: master без вечного root»