NGINX---temp相关目录属主被篡改成nobody

已于 2023-07-25 21:51:30 修改
阅读量794 收藏 4
点赞数 1
分类专栏: # NGINX 文章标签: nginx centos 运维
于 2023-07-24 21:36:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41768644/article/details/131819908
版权

一、背景

某天生产上突然有大量交易报错,一步一步查询下来,最终发现nginx的缓存temp目录的属主被篡改成了nobody,应用用户没有权限读取导致nginx的交易报错。

二、原因

某一个巡检程序脚本是用root权限执行的,脚本中含有nginx -t 命令,当使用root权限执行nginx -t 命令的时候会导致temp目录权限被修改。

why??? 为什么会这样

三、场景复现

我之前在做nginx镜像的时候,发现如果编译的时候不指定用户和属组,在启动镜像的时候会无法启动,因为有些目录没有读取权限,导致启动报错,就想到会不会是因为编译的时候没有指定用户和属组,我就在测试环境重新编译复现了一下,果然是这个原因。具体如何编译安装请看我的另一篇blog nginx编译安装

四、如何避免

1、当编译的时候需要指定 --user --group 为安装的用户目录,否则就会使用默认用户nobody,当使用root权限执行nginx -t 的时候,相关模块temp目录的属主会更改为nobody;

2、nginx.conf 文件中的user指令只有使用root权限运行的时候才会生效 ,即nginx -s reload 命令必须root权限执行这样user指令才会生效,否则会有警告;

3、当nginx.conf文件中的user指令制定之后,且需要指定为应用用户,这样即使使用root权限执行nginx -t 相关模块temp目录的属主也不会更改为noboay;如果指定的用户是非应用用户,即随意指定,当使用root权限执行nginx -t 后,相关模块temp目录的属组会更改为nobody;

4、其他用户,即使有对应的 执行nginx -t命令的权限,相关模块temp目录的属组也不会更改为nobody;

husterlichf
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
问题解决:nginx执行命令后临时目录权限为nobody
a961634066的博客
08-20 5545
1. 问题 执行了nginx -t,nginx -s reload,重启了nginx,发现部分POST接口请求出现了500错误,然后,查看Nginx错误日志,类似如下:nginx open() "/usr/local/nginx/client_body_temp/ failed (13: Permission denied) 然后查看对应的目录权限,发现nginx用户组权限变更了 2. 解决 我们的nginx服务启动用户是nginx,当时我执行nginx -t 操作时用的是root用户,如果执.
nginx nobody
金溪的博客
10-31 6304
nginx.conf文件的第一行一般设备用户的地方,如果不指定nginx默认用户是nobody。 可以通过ps aux|grep nginx来查看 nobody是一个不能登陆的系统用户,用于安全隔离,但是如果安装和启动的用户是root, 就是有权限问题。 修改为user root,可以解决权限问题,但更好的是使用非root安装nginx. ...
Nginx :user nobody
live的专栏
11-08 4590
查看nginx.conf: user nobody:user root 注意:只是注释掉(#user nobody),没重新赋值默认还是nobody 停止nginx -s stop 重启nginx -c nginx.conf 测试...
Nginx目录的所有父级目录的修改权限不能赋予除root和Nginx运行用户的其他普通用户
rojanzhang的专栏
12-26 1578
规则描述: 不仅文件本身,Nginx目录必须只能由属主来改写,Nginx目录的所有父级目录的修改权限不能赋予除root和Nginx运行用户的其他普通用户。如果Nginx目录 的某一父级目录的修改权限可以被其它普通用户拥有,那这个用户就可以删除这个父级目录下面原来的目录或文件然后新建同名的目录或文件,达到对目录下所有文 件进行篡改控制的目的。 根据: 审计描述: 检查Nginx目录及...
exportfs命令、客户端文件属主属组nobody解决办法
weixin_33795833的博客
03-28 289
exportfs命令 如果机器挂载了很多目录,卸载后挂载不现实就需要个命令 转载于:https://blog.51cto.com/13515599/2092143
linux文件改为nobody,Nginx配置中user设置为nobody有什么用?
weixin_29964487的博客
04-29 4586
在许多Unix和Linux发行版中,nobody用户都是伪用户。根据Linux Standard Base,nobody用户及其组是可选的助记符用户和组。该用户旨在代表对系统具有最小权限的用户。在最佳情况下,不会将用户及其组分配给任何文件或目录(作为所有者)。该用户在其对应的组中(根据LSB)也称为“ nobody”,且不在其他任何组中。在较早的Unixes和Linux发行版中,守护程序(例如We...
ingress-nginx-controller-1.9.yaml
10-18
《Ingress-Nginx控制器与应用部署详解》 在 Kubernetes 集群中,Ingress 是一种用于对外提供服务的资源对象,它定义了外部网络如何访问内部的 Service。Nginx Ingress 控制器是广泛应用的一种解决方案,通过配置 ...
ingress-nginx-controller(含镜像和代码).rar
10-28
《ingress-nginx-controller详解与实战指南》 在 Kubernetes 集群中,ingress-nginx-controller 是一种常用的网络路由控制器,它基于 Nginx 实现,用于处理来自外部的入站流量,将请求转发到相应的后端服务。本文将...
lua-nginx-module-0.10.13
07-18
Lua-Nginx-Module,简称lua-nginx-module,是Nginx服务器的一个重要扩展模块,它将强大的Lua脚本语言集Nginx中,允许用户在Nginx配置文件中直接编写Lua代码,极大地增强了Nginx的功能性和灵活性。版本0.10.13是...
windows下编译nginx-http-flv-moudle
11-18
在Windows环境下编译`nginx-http-flv-module`是一项技术性的任务,主要目的是为了实现HTTP FLV协议的直播功能,使得用户可以通过浏览器中的FLVJS库或者无插件Flash播放器来观看直播内容。这个模块是Nginx的一个扩展...
nginx-1.21.1_nginx-http-flv-module
06-23
windows版,2021年6月23日编译,已编译nginx-http-flv-module直播推流模块
nginx常见漏洞解析_nginx漏洞(2),2024年最新【一篇文章搞懂
最新发布
2401_84181340的博客
04-10 2504
中间件漏洞可以说是最容易被web管理员忽视的漏洞,原因很简单,因为这并不是应用程序代码上存在的漏洞,而是属于一种应用部署环境的配置不当或者使用不当造的。但是在开发使用过程中也不乏官方程序自身的一些安全问题。我们在处理应急响应事件时经常遇到这么一种情况,客户网站代码是外包的,也就是第三方公司负责开发,而部署可能是由客户内部运维人员负责。暂不说他们对于中间件安全的重视程度与了解程度,只谈发现漏洞后如何处理,便是一团乱。开发商推卸说这并不是代码上的问题,他们完全是按照安全开发流程(SDL)走的,所以跟他无关。
更改 Nginx 服务的默认用户& 关于linux下的nobody用户
Arlingtonroad的博客
09-17 4843
更改 Nginx 服务的默认用户 <nginx.conf> nginx用户权限 在nginx.conf文件的第一行一般是设置用户的地方(编译安装nginx时的参数--user=<user>也是指定用户的地方),如 user www www; 如不指定nginx默认用户是nobody. 这里用户的设置又有什么意义呢?主要是指定执行nginx的worker process的用户,linux里所有程序都是文件,都具有权限问题,这个指定的用户对特定的文件有没有权限访问或执行,就是这个用户的意
问题记录之---nginx temp文件夹
weixin_47980221的博客
11-01 781
问题说明: 服务从外网访问服务公众号前端调用后端接口时候会偶然出现网络异常情况(并非每次都会出现),此问题只是偶发性得,问题现象如下图: 查看nginx错误日志有以下内容:open()"/data/nginx/temp/proxy_temp/8/11/0000000118"failed(13:Permissiondenied) 一开始以为前端代码目录权限问题,修改完后并没有解决,然后...
nginx 基本配置
两只橙的博客
07-16 482
一、nginx基本配置 user nobody; worker_processes 4; # 设置工作进程数,通常是cpu核数或者cpu核数的2倍 events{ worker_connections 1024; # 设置并发最大连接数 } http{ server{ listen 192.168.1.2:80 #监听这个IP地址,
nginx: [emerg] getpwnam(“nobody“) failed
weixin_46627652的博客
10-18 2788
nginx: [emerg] getpwnam("nobody") failed
Nginx学习笔记8——Nginx配置文件
CCH2024的专栏
09-03 846
Nginx学习笔记
nginx的权限问题(13: Permission denied)解决办法
热门推荐
吻等离子的博客
07-07 1万+
一个是www,一个是root用户。打开 nginx.conf 文件。查找nginx.conf的位置。
nginx -t nginx -s reload
03-12
nginx -t是用于检查nginx配置文件语法是否正确的命令。当我们修改了nginx的配置文件后,可以使用nginx -t命令来验证配置文件的正确性,以避免在重启nginx时出现错误。 nginx -s reload是用于重新加载nginx配置文件的命令。当我们修改了nginx的配置文件后,可以使用nginx -s reload命令来重新加载配置文件,使新的配置生效,而无需重启整个nginx服务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值