css文件权限问题,一个小小的用户权限,竟然导致服务访问403

最新推荐文章于 2024-01-11 14:54:17 发布
最新推荐文章于 2024-01-11 14:54:17 发布
阅读量659 收藏 2
点赞数
文章标签: css文件权限问题

原标题:一个小小的用户权限,竟然导致服务访问403

bd8fe52f1635fcfb22d21c5de6263c6b.png

每一次故障排查都是一笔财富,各种狗血经过不表,解决问题之后的那种满足是不可替代的。背景

发布系统架构图简化如下:

c9bf90cd33634316a971dd9b8a5f9495.png

发布架构图

管理员通过Jenkins调用“发布程序(代号varian,以下简称varian)”,发布程序会进行一系列的初始化操作,完成后生成Docker镜像上传到Docker仓库,容器集群更新镜像,用户通过负载均衡访问我们的容器集群。

老的varian采用shell+python开发,配合Jenkins(jdk1.7)进行发布,因内部项目较多,写了很多兼容脚本,代码比较乱。

我们计划对varian进行重构,完全采用python开发,各个功能模块化,不同类型的项目用乐高的思想拼装模块部署发布,降低耦合。

并将jenkins升级到最新版本,jdk同样升级到1.8。新的varian已经开发完成,现在开始部署测试了,故事就由此开始。

为了降低对现有项目的影响决定重新部署一套新的环境,完全测试通过后将老环境废弃,直接启用新环境,新环境信息如下:

系统:Debian8

语言:Python3.4

JDK1.8 + Jenkins2.134故障处理过程 解决nginx访问403的问题

通过 Jenkins 调用varian正常部署了一个静态项目(纯html,css,js等静态资源),通过负载均衡访问容器集群(参考上边架构图),发现页面样式无法加载,浏览器按F12调出控制台发现个CSS文件返回403状态:

c9e9e51f180651403f935a15167a5d22.png

chrome F12调试

web服务用的nginx, 脑海里迅速过了一遍什么情况下nginx会返回403:

nginx配置了白名单,client端访问的IP不在白名单内

访问的路径是个目录,而nginx配置了禁止列目录

访问的路径是个文件,但nginx服务配置的用户和用户组对文件没有读取权限

目录索引index 配置错误,例如你的目录下只有index.html,你却配置了index.shmtl或index.php等等

indexindex.shtmlindex.php;

常见的有以上问题会导致nginx返回403,迅速排查了一下,发现就是权限的问题导致的,nginx配置的用户和用户组为www-data,而css文件的属主属组都是root,且其他用户没有任何权限:

702e07bc039c5085adc79b793f65e985.png

这里再详细讲解下linux下的文件权限,以上边的csl.css文件为例:

-rw-r-----1 rootroot7 .9KJul24 12 :34csl.css

以空格分割

第一段-rw-r——-10个字符定义了文件的权限

第一个字符,这里为 - 代表这是一个文件,还会看到像 d 代表目录、 l 代表连接

剩下九个字符,每三个一组,第2-4个字符代表属主权限,第5-7个字符代表属组权限,第8-10个字符代表其他用户的权限

其中每一组三个字符分别为r、w、x,用数字表示r=4、w=2、x=1,分别代表读、写、执行权限,如果这个字符有值表明有这个权限,例如上边css文件的权限就为属主有rw读写权限,属组只有r权限,其他用户没有权限

第二段为一个数字,表示文件的连接数

第三段root表示用户的属主为root

第四段root表示用户的属组也为root

第五段则表示文件大小

后边三段为修改时间

最后一段为文件名tomcat8 UMASK

经过反复测试,发现我直接在linux下通过控制台执行python脚本的方式发布部署最终文件权限正常,但是同样的脚本经过Jenkins执行后权限就不对了。

控制台执行跟Jenkins执行有什么区别?账号不一样啊,遂把jenkins项目、tomcat文件都改成属主属组都为root重新执行,发现还是一样的结果。

再想想还有哪里不对,这个css文件是程序生成的,生成的文件权限不对,umask!这个词突然蹦出来,对,应该就是umask,他控制了生成新文件的权限。

简单介绍下什么是umask:

umask值用来设置用户在创建文件时的默认权限,跟设置文件权限命令chmod是相对的,总共四位,不过我们通常只用后三位,同样对应属主属组以及其他用户的权限,例如你的账号umask值为0022(可直接通过umask命令查看)。

此时你创建的文件权限默认为644(文件初始的最高权限为666,umask设置为022,那么最终的权限为:6-0,6-2,6-2=644。

当然有人说文件的权限最高是777,是的没错,但我们说的是默认权限,默认权限是由umask决定的,umask设置为000时文件的权限就是666,文件夹权限777),此时创建的目录权限为755(目录的最高权限为777,umask设置为022,那么最终的权限为7-0,7-2,7-2=755)。

查了root用户的umask、jenkins用户的umask,都为0022,没问题呀,并且登录这两个账号创建了新文件权限也都正常,就剩下一种情况了Jenkins!

Jenkins没有地方可以给配置UMASK,Jenkins跑在tomcat容器里,老版本的varian也有相似的处理逻辑一直没问题,本次升级了tomcat8,难道tomcat8更新了UMASK?半信半疑的看了下,果然!tomcat8的umask默认改成了0027,麻溜的改成了0022,问题顺利解决!

27ce0c9908a20ecd98d8cfe4a2b5336b.png

2021年5月14-15,GOPS 2021 · 深圳站,早鸟票限时开启~

3b03c04ab9419f3cf7ce5accb336dbfd.png

扫码开启 GOPS 2021 · 深圳站传送之门 ⬇️返回搜狐,查看更多

责任编辑:

甩掉鸡毛变凤凰
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【安装Linux遇到的问题之解决办法】无法创建新虚拟机: 无法打开配置文件“D:\Virtual Machines\Debian 7.x 64 位.vmx”: 拒绝访问。附:创建虚拟机错误及解决方案
追光者♂:记录、分享、总结、提升,现象级专栏《Python从入门到人工智能》作者,无惧黑暗,坚信曙光
03-05 5840
【安装Linux遇到的问题之解决办法】无法创建新虚拟机: 无法打开配置文件“D:\Virtual Machines\Debian 7.x 64 位.vmx”: 拒绝访问。附:更多常见创建虚拟机错误 及 解决方案
【windows——10 笔记本 好用 快捷键 总结】| MySQL 面试题: SQL查询优化;数据库安全性和权限管理
追光者♂:记录、分享、总结、提升,现象级专栏《Python从入门到人工智能》作者,无惧黑暗,坚信曙光
03-15 207
alt + tab 快速切回选择桌面的某应用
常见问题 html5页面模板,html5+css3实现403程序报错页面模板特效
weixin_35726575的博客
06-03 1167
403禁止页面模板@import url("https://fonts.googleapis.com/css?family=Share+Tech+Mono|Montserrat:700");* {margin: 0;padding: 0;border: 0;font-size: 100%;font: inherit;vertical-align: baseline;box-sizing: bord...
mac下 静态文件css403无法显示
Summersblue的博客
02-10 708
近期对着node.js开发实战详解阅读。 p143有使用nginx处理静态文件.css . js,但我始终遇到一个总是,就是static目录下的这些文件一直403没权限,找不到。 网上查了很久,有提示移到用户目录以外。 我测试如下 sudo  cp -rf   3.7  /3.7 cd / sudo chown nobody:nobody 3.7 因为nginx.conf里u
Docker 容器中配置nginx后报403 Forbidden 解决办法
weixin_30787531的博客
05-03 3590
1、Docker挂载主机目录,访问相应的文件出现Premission denied的权限访问问题 问题原因及解决办法 原因是CentOS7中的安全模块selinux把权限禁掉了,主要是挂载的目录没有权限的问题 2、添加selinux规则,改变要挂载的目录的安全性文本 chcon -Rt svirt_sandbox_file_t /home/hct/sample/ 3、重新生...
Mac系统下加载CSS样式的403 Forbidden
锦衣卫的博客
12-04 1860
常见的,引起nginx 403 forbidden有二种原因,一是缺少索引文件,二权限问题。1、缺少index.html或者index.php文件 .这个一般是网站根目录的原因,找不到索引文件(如index.php,index.html),一般出现在直接访问域名的情况下。 2、对于PHP而言,如果nginx用户没有web目录的权限,则会导致该错误。解决办法:修改web目录的读写权限,或者是把ngin
CSS 的优先级机制[总结]
weixin_34218579的博客
09-24 415
  样式的优先级 多重样式(Multiple Styles):如果外部样式、内部样式和内联样式同时应用于同一个元素,就是使多重样式的情况。 一般情况下,优先级如下: (外部样式)External style sheet <(内部样式)Internal style sheet <(内联样式)Inline style   有个例外的情况,就是如果外部样式放在内部样式的后面...
【解决linux本地浏览器不能访问ftp-----以淘淘商城 项目学习为例、Nginx、ftp部署...】| 系统架构师 面试题:如何评估系统的性能瓶颈,并进行性能调优?
追光者♂:记录、分享、总结、提升,现象级专栏《Python从入门到人工智能》作者,无惧黑暗,坚信曙光
08-26 1172
本篇给出Linux本地浏览器无法访问FTP服务的常见解决方案以及实例。系统架构师 面试题:如何评估系统的性能瓶颈,并进行性能调优?
一个基于SpringBoot开发的RBAC系统,非常适合新手入门JavaWeb代码审计实战的系统,长文警告,要好好学习。
Power7089的博客
08-08 3120
一个基于SpringBoot开发的RBAC系统,非常适合新手入门JavaWeb代码审计的系统,长文警告,要好好学习哦。
Nginx+Tomcat构筑Web服务器集群
w1206507055的博客
06-07 1676
nginx+tomcat构筑web服务器集群
XXXX.css%22 403 (Forbidden)
weixin_42280053的博客
03-08 298
标题 XXXX.css%22 403 (Forbidden) 低级错误,资源url 没有 “ ”
mvc 发布后 css一些文件访问403 禁止访问: 访问被拒绝问题
lhwomg的专栏
10-28 3278
mvc 发布后 css一些文件访问403-禁止访问: 访问被拒绝问题,把css这个文件夹删除再发布,问题解决
web 项目中css文件读取不到
旋转的紫色星系
07-25 6632
可能有以下原因: 1、路径没有写对: 2、文件没有读取权限: 开发中遇到一个问题css引用代码: 报错: type Status report message /s-mybatis/resources/css/all.css description The requested resource is not available. 经过查找,发现 all.css 文件是直
解决引入外部文件(图片、js等)出现403 forbidden的问题
m0_50864962的博客
03-21 1470
页面中引入外网的链接资源,会产生一个新的http请求。为了安全(URL里可能包含用户信息),浏览器一般都会给这些请求头加上表示来源的referrer 字段。 所以,此时我们需要隐藏外部链接中的referrer,在head标签中加入meta,代码如下: <meta name="referrer" content="no-referrer"/> ...
CSS权重、样式的获取及设置
u013400314的博客
06-21 927
从大的方面说css样式优先级 内联》内部》外部, 但如果在html文档种内部样式定义在外部引入之前,则外部引入的样式会覆盖内部样式。 优先级 通俗的说 就是靠近元素越近优先级越高。 1、CSS优先级规则 ①!important,绝对王者,权重最高,放在属性 值 后面【XXX{color:red !important;}】 ②权值不同时,权值高的优先 ③权值相同时,后定义的规则优先,跟引入的顺序无关 2、权值计算 ①第一等级:内联样式; 如 style=“”,权值为 1-0-0-0 获取元素样式 elm.st
CSS的权重、样式优先级
weixin_48796690的博客
10-09 671
CSS的权重与样式优先级
laravel中css和js加载失败出现403错误的一种可能
u012944984的博客
07-07 922
laravel网站中,打开网页可以看到页面中的文字,但是网页中css和js 出现403错误,查看消息头提示 禁止You don’t have permission to access /{{ URL::asset(… 这种情况有可能是因为没有将你的网页名称命名为blade模板的形式,如page.blade.php. ...
(css样式)权限控制el-button是否显示 + 鼠标悬浮停留才会显示el-button
最新发布
qq_42192641的博客
01-11 541
原来是哪个账号发布的内容,自己都修改删除(只要判断item.userId == userId就行)(2)管制席位TWR_ONE账号发布了内容:管制席——zhouzebiao——。(1)当前物理席位是主任席(seatType==‘1’)(3)主任席tatai账号发布了内容:666——6666。(1)在主任席登录的账号能删除修改所有人发布的。(2)删除修改图标在鼠标悬浮的时候才会显示。
docker项目部署完出现403或者是其他问题(随笔记录)
RayPick的博客
03-10 1586
就目前我碰到的情况,我会先写下来,后续慢慢添加情况 1.如果docker部署完有问题,那么首先想到的肯定是代码是否为最新,检查代码是否为打包的最新代码 2.检查代码中是否有隐藏bug,在线上环境刚好碰到了,启动docker时,用-e参数注入环境变量,开启debug模式查看详细日志进行排错,springboot项目中,像这种变量都可以直接注入进去 3.可能你的项目中用到了缓存,也就是caffeine这种spring组件,在你启动完docker后,有些数据按理说是不会动的,但是被人手动改掉了或者说就是动过了,
如何让css文件夹能够有读同一级文件夹里文件的权限
05-31
要让 CSS 文件夹能够读取同一级文件夹里的文件,你需要在该文件夹上设置正确的权限。以下是一些可能的解决方法: 1. 在命令行中使用 chmod 命令来设置文件夹权限。例如,如果你想让 CSS 文件夹具有读取与执行权限,你可以使用以下命令: ``` chmod +rx foldername ``` 2. 如果你使用的是 FTP 客户端,可以通过右键单击文件夹并选择“属性”或“权限”等选项来设置文件夹权限。 无论你使用哪种方法,都应该设置适当的权限,以确保 CSS 文件夹可以读取同级文件夹里的文件,同时确保该文件夹及其内容的安全性。建议使用最小权限原则,即只授予必要的权限,以防止潜在的安全漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值