Вторник, 17 Март 2009

nginx: master без вечного root

Предлагаю общественности патч, который понижает привелегии у master процесса. Для старта по прежнему нужен root, но после старта все процессе будут от имени user в конфиге.

В тот же конфиг добавлена директива use_bind_capability, которая и управляет этим поведением. Но надо понимать, что за возможность сделать chown/rename для pid/log должен отвечать уже системный администратор.

Написано в: 22:12 | 3 комментария | | теги: , , , | постоянная ссылка |
Добавить пост в:   Delicious Reddit Slashdot Digg Technorati Google


Последние комментарии

Комментарии

chip 19.03.2009 12:22

Справедливости ради патч применим исключительно для linux. Судя по коду используется только CAP_NET_BIND_SERVICE. А как быть в случае с подключением очередного ssl-хоста, например, ключ которого будет принадлежать root:root с правами 0400? Получим permission denied?

ответить
Kirill A. Korinskiy 23.03.2009 14:58

Ага.

Права доступа к ключам, в этом случае, ложится на голову администратора. К логам и pid тоже. Вообще хочется поинтересоваться а чем смысл устанавливать такие права на ключи?

А про linux-only: так получилось что я использую nginx только в linux окружение.

ответить

Форма комментирования для «nginx: master без вечного root»

Обязательное поле. Не больше 30 символов.

Обязательное поле

chip 23.03.2009 15:48

Вообще хочется поинтересоваться а чем смысл устанавливать такие права на ключи?

Подразумевалось в общем работа с файлами доступными только root(у), которые не постоянно открыты master процессом.

ответить