root操作Nginx导致用户组错误

最新推荐文章于 2024-07-17 20:23:16 发布
最新推荐文章于 2024-07-17 20:23:16 发布
阅读量1.1k 收藏
点赞数
分类专栏: nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sz85850597/article/details/114178812
版权

问题

某年某月某日临近中午,用户突然反应系统出了问题,微信小程序的几个界面加载异常,不能正常访问。紧急排查发现,后端应用有大量的如下错误日志,错误信息SSL peer shut down incorrectly字面上看上去是HTTPS请求Nginx后SSL握手错误,于是再去查看Nginx的日志。

Error while extracting response for type [class java.lang.String] and content type [application/json;charset=utf-8]; nested exception is javax.net.ssl.SSLException: SSL peer shut down incorrectly
org.springframework.web.client.RestClientException: Error while extracting response for type [class java.lang.String] and content type [application/json;charset=utf-8]; nested exception is javax.net.ssl.SSLException: SSL peer shut down incorrectly
	at org.springframework.web.client.HttpMessageConverterExtractor.extractData(HttpMessageConverterExtractor.java:115)
	at org.springframework.web.client.RestTemplate.doExecute(RestTemplate.java:725)
	at org.springframework.web.client.RestTemplate.execute(RestTemplate.java:680)
	at org.springframework.web.client.RestTemplate.postForObject(RestTemplate.java:435)

查看Nginx日志后发现果然Nginx也有大量的报错,如下,字面意思就是Nginx自动生成的临时文件夹client_body_tempproxy_temp的读写权限错误。

2020/12/08 11:39:19 [crit] 3844#3844: *1686658178 open() "/opt/nginx/client_body_temp/0007652979" failed (13: Permission denied)
2020/12/08 11:39:19 [crit] 3844#3844: *1686658280 open() "/opt/nginx/client_body_temp/0007652980" failed (13: Permission denied)
2020/12/08 11:39:19 [crit] 3844#3844: *1686658233 open() "/opt/nginx/proxy_temp/1/98/0007652981" failed (13: Permission denied) while reading upstream
2020/12/08 11:39:21 [crit] 3842#3842: *1686658542 open() "/opt/nginx/client_body_temp/0007652982" failed (13: Permission denied)
2020/12/08 11:39:21 [crit] 3844#3844: *1686658318 open() "/opt/nginx/client_body_temp/0007652983" failed (13: Permission denied)
2020/12/08 11:39:23 [crit] 3844#3844: *1686651044 open() "/opt/nginx/client_body_temp/0007652984" failed (13: Permission denied)
2020/12/08 11:39:23 [crit] 3844#3844: *1686658745 open() "/opt/nginx/client_body_temp/0007652985" failed (13: Permission denied)

于是再转头查看文件夹的权限情况,输出如下,果然这两个文件夹本应该所属nginx用户,但现在却显示所属nobody用户。紧急修改文件夹权限组后,Nginx不再输出错误日志,后端服务也恢复正常。

drwx------  2 nobody nobody   6 Dec 10 11:26 client_body_temp
drwxr-xr-x  5 nginx  nginx 4.0K Nov 13 01:48 conf
drwx------  2 nobody nobody   6 Jul 12  2017 fastcgi_temp
drwxr-xr-x  2 nginx  nginx   56 Apr  7  2020 html
drwxr-xr-x  3 nginx  nginx  20K Dec 10 03:26 logs
drwx------ 12 nobody nobody  96 Dec 25  2017 proxy_temp
drwxr-xr-x  2 nginx  nginx   19 Jul 12  2017 sbin
drwx------  2 nobody nobody   6 Jul 12  2017 scgi_temp
drwx------  2 nobody nobody   6 Jul 12  2017 uwsgi_temp

原因

如果Nginx非root用户启动后,再以root用户执行nginx -t命令,会修改client_body_tempproxy_temp等临时文件夹的权限,文件夹的用户组变为nobody,导致原Nginx进程用户没有权限读写受到影响的临时文件夹。

而这次导致事故的罪魁祸首是同事使用阿里云提供的安全扫描工具对系统进行扫描,但扫描工具本身的问题,以root用户对Nginx执行了操作导致了临时文件夹用户组被自动修改成了nobody

复现

[root@localhost nginx]# ll
total 4
drwx------. 2 webapp webapp    6 Jan 31 05:50 client_body_temp
drwxr-xr-x. 2 webapp webapp 4096 Jan 31 05:52 conf
drwx------. 2 webapp webapp    6 Jan 31 05:50 fastcgi_temp
drwxr-xr-x. 2 webapp webapp   40 Jan 31 05:50 html
drwxr-xr-x. 2 webapp webapp   58 Jan 31 05:50 logs
drwx------. 2 webapp webapp    6 Jan 31 05:50 proxy_temp
drwxr-xr-x. 2 webapp webapp   19 Jan 31 05:50 sbin
drwx------. 2 webapp webapp    6 Jan 31 05:50 scgi_temp
drwx------. 2 webapp webapp    6 Jan 31 05:50 uwsgi_temp

[root@localhost nginx]# ./sbin/nginx -t
nginx: the configuration file /opt/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /opt/nginx/conf/nginx.conf test is successful

[root@localhost nginx]# ll
total 4
drwx------. 2 nobody webapp    6 Jan 31 05:50 client_body_temp
drwxr-xr-x. 2 webapp webapp 4096 Jan 31 05:52 conf
drwx------. 2 nobody webapp    6 Jan 31 05:50 fastcgi_temp
drwxr-xr-x. 2 webapp webapp   40 Jan 31 05:50 html
drwxr-xr-x. 2 webapp webapp   58 Jan 31 05:50 logs
drwx------. 2 nobody webapp    6 Jan 31 05:50 proxy_temp
drwxr-xr-x. 2 webapp webapp   19 Jan 31 05:50 sbin
drwx------. 2 nobody webapp    6 Jan 31 05:50 scgi_temp
drwx------. 2 nobody webapp    6 Jan 31 05:50 uwsgi_temp

如上,以root用户对Nginx执行nginx -t命令后,几个临时文件夹的用户组被修改成了nobody

总结

慎用root用户,不要以root用户对Nginx进行任何操作!

祈雨v
关注
专栏目录
Feign - Error while extracting response for type [class java.lang.String]
BorisCao的博客
11-08 7590
定义Feign接口 @RequestMapping(produces = MediaType.APPLICATION_JSON_UTF8_VALUE, method = RequestMethod.GET, value = "/temp/test/data") String testData(@RequestParam("data") String data); 调用Feign接口 @GetMapping("/internal/test/data") pub
nginx403错误 修改nginx配置文件中用户组
良之才的专栏
07-07 593
Nginx用户权限 在nginx.conf文件的第一行一般是设置用户的地方(编译安装nginx时的参数--user=<user>也是指定用户的地方),如 user www www; 如不指定默认是nobody. 这里用户的设置又有什么意义呢?主要是指定执行nginx的worker process的用户,linux里所有程序都是文件,都具有权限问题,这个指定的用户对特定的文件有...
nginx全局块的user指令
最新发布
小丁的博客
07-17 1114
修改nginx.conf配置文件中的#user nobody;为user www;user:用于配置运行Nginx服务器的 worker进程。如果两个地方都进行了设置,最终生效的是配置文件中的配置。发现配置文件测试失败,这个时候我们需要创建一个用户www。页面会报403拒绝访问的错误
restTemplate报错response for type [class java.lang.String] and content type [text/plain;charset=utf-8]
pizssn的博客
03-23 7322
  昨天在开发中使用restTemplate去调用postForObject时,一直报错Error while extracting response for type [class java.lang.String] and content type [text/plain;charset=utf-8]; 调用的代码逻辑也很简单,就是一个封装了请求头,使用x-www-form-urlencoded的post请求方式。   一开始我以为是我的请求头有问题,导致接口返回的类型不匹配。于是在请求头封装了acc
解决Feign接口调用出现Error while extracting response for type [Class]异常
Mr_ha的博客
08-11 4172
解决Feign接口调用出现Error while extracting response for type [Class]异常
Error while extracting response for type[接收的response实体类] and content type [application/json;charset=
ccxlct的博客
06-05 765
原因是responseDTO里边缺少了一个只有一个String类型参数的构造器,导致在解析 ’fail’的时候失败了,需要在responseDTO里边创建一个构造方法,来接收字符串:‘fail’这个错误是因为Json转换成对象失败了,虽然responseDTO有一个构造器,但默认的是无参构造器,此时没办法解析服务端传来的单个字符串。例: public responseDTO(String args1){ //args1参数名任意取。
Spring Boot RestTemplate 使用相关问题汇总
z185665096的专栏
11-16 1997
RestTemplate 默认不支持Https请求
centos 非root安装nginx
01-28
通常,可以创建一个新的用户组和用户,并将当前用户添加到该组。 1. 创建新用户组和用户: ```bash sudo groupadd nginx_group sudo useradd -s /sbin/nologin -g nginx_group nginx_user ``` 2. 获取Nginx...
详解nginx.conf 中 root 目录设置问题
01-20
`user` 指令用于设置 Nginx worker 进程运行的用户和用户组。默认情况下,worker 进程运行在 `nobody` 用户和组下。 #### `master_process` 指令 `master_process` 控制 Nginx 是否作为守护进程运行。关闭守护进程...
权限问题导致Nginx 403 Forbidden错误的解决方法
09-30
2. **Socket文件**:如果你的Nginx配置使用了socket文件进行通信,如`/var/run/nginx.sock`,确保Nginx用户对该文件有读写权限。 3. **日志文件**:Nginx需要能够写入日志文件,所以确保日志目录和文件的权限设置...
nginx安装文档(非root用户)
weixin_42609614的博客
09-09 1454
文章目录nginx安装文档一. 文档介绍二. nginx 简介1. nginx 简介2. 服务器相关概念介绍基础安装篇一. 环境准备1. 停用 selinux2. 创建中间件用户3. 赋予中间件用户 **sudo** 权限4. 关闭防火墙二. 素材准备1. 下载 nginx2. 下载依赖三. nginx 安装1.介质解压于查看2. 配置编译环境3. 编译和安装4. 修改 nginx **虚拟主机** 端口号5. 启动 **nginx** 服务场景应用篇一. 搭建 nginx 文件服务器1.设置服务器访问用户
spring boot 踩坑日记-Request processing failed; nested exception is feign.codec.DecodeException: Error w
ityqing的博客
11-29 2万+
错误信息: "Request processing failed; nested exception is feign.codec.DecodeException: Error while extracting response for type [cn.silucaihong.scheduling.common.ResultBean<java.lang.Boolean>] and ...
Error while extracting response for type [java.util.List<java.util.Map<java.lang.String, java.lang.
picktheshy的博客
07-19 369
fastjson从1.28换成2.0.0就好了。
SpringCloud-8-解决Fegion的feign.codec.DecodeException报错问题
IOT_LI的专栏
10-26 3578
今天把一个微服务模块迁到了另一个系统,结果Fegion调用一直报错,后来发现是由于访问路径不对,被访问服务相比之前的平台多了了一层路径。 feign.codec.DecodeException: Error while extracting response for type [class java.lang.Double] and content type [application/json;charset=utf-8]; nested exception is org.springframework
Could not extract response: no suitable HttpMessageConverter found for content type [text/html]
小草莓的博客
02-13 1万+
}
com.fasterxml.jackson.core.JsonParseException: Illegal character ((CTRL-CHAR, code 31)): only regula
nbswwsnb的博客
02-04 1665
当时我试着把json格式分成两部分 分别使用Feign接口调用服务间方法时都能调用 合在一起时就出现标题错误感觉奇怪 后续百度之后发现可能是由于JSON长度太大了 默认Feign的调用长度在2048 所以出现这个问题。我的代码里面的某个字段存入json格式的数据。
记一次Feign调用报错feign.codec.DecodeException: Error while extracting response for type [java.util.List...
deku_的博客
01-19 3367
feign.codec.DecodeException: Error while extracting response for type [java.util.List] and content type [application/json]; nested exception is org.springframework.http.converter.HttpMessageNotReadableException: JSON parse error: Cannot deserialize
日期转化Json异常- Date JSON parse error
热门推荐
wendy专栏
10-19 3万+
1、做JUnit功能测试的时候,抛出如下异常 org.springframework.web.client.RestClientException: Error while extracting response for type [class com.imooc.entity.Product] and content type [application/json;charset=UTF-8...
nginx 使用非root用户启动
05-12
为了提高系统的安全性,我们通常不建议使用 root 用户来启动 nginx 服务。下面是一些基本的步骤,以非 root 用户身份启动 nginx: 1. 创建一个非 root 用户,比如 nginx,用于启动 nginx。 2. 确保该用户对 nginx 安装目录和日志目录有足够的读写权限。 3. 修改 nginx 配置文件,将 nginx 进程运行的用户和组修改为刚才创建的非 root 用户和用户组。 ``` user nginx; ``` 4. 启动 nginx 服务时,使用刚才创建的非 root 用户身份启动。 ``` sudo -u nginx /path/to/nginx ``` 这样就可以以非 root 用户身份启动 nginx 服务了。需要注意的是,如果 nginx 进程需要监听低于 1024 端口,仍然需要 root 用户权限。可以使用 setcap 命令,将对应的端口赋予 nginx 进程的执行文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值