nginx 是用 nobody 运行,另外有一个用户 petter 主要是维护一大堆证书(公钥和私钥),我以为,根据 linux 的文件权限读取规则,建立一个 ssl 用户组,让 nobody 和 petter 都加入进去,再把整个证书存放目录设置为 petter:ssl ,就可以让 nginx 读取。
但实测并不能,nginx 处理访问触发读取 ssl 证书的时候,会报错无权限读取 ssl 证书,摸索了一番后,发现只有把证书拥有者改为 nobody ,nginx 才能读取并正常处理访问。
“进程的拥有者只能读取自己拥有的证书”?这与理解的 linux 文件权限读取逻辑有点不一样,这是 linux 内核对这种操作的特殊处理,还是 nginx 自己定的规则?
但实测并不能,nginx 处理访问触发读取 ssl 证书的时候,会报错无权限读取 ssl 证书,摸索了一番后,发现只有把证书拥有者改为 nobody ,nginx 才能读取并正常处理访问。
“进程的拥有者只能读取自己拥有的证书”?这与理解的 linux 文件权限读取逻辑有点不一样,这是 linux 内核对这种操作的特殊处理,还是 nginx 自己定的规则?
8 条回复 • 2024-12-03 20:45:02 +08:00
 |
1
saka1zd 20 小时 15 分钟前
证书的权限设置了啥
|
 |
2
adoal 20 小时 9 分钟前
想多了,证书文件只是普通文件,对 Linux 内核来说跟其它文件没有什么不同。
不如先找一个能登录的其它用户,加入 ssl 组,看看能不能打开证书文件。 |
 |
3
dzdh 20 小时 8 分钟前
acl
|
 |
4
goodryb 19 小时 41 分钟前
同一个用户组也要看你给文件的权限 600 同一个用户组也访问不了,起码 640
|
 |
5
liaohongxing 19 小时 37 分钟前
要用 chmod 给文件夹加组读权限, 也 644 ,ls 表现为: -rw-r--r-- (644) 只有拥有者有读写权限;而属组用户和其他用户只有读权限。
|
|
6
liaohongxing 19 小时 37 分钟前
或者楼上 640
|
 |
7
hguandl 19 小时 29 分钟前
我感觉更常见的方案是用 nginx.conf 来设置用户。master process 启动时一般是 root 权限,读取配置后再 fork 出 worker process 并 setuid 。
|
Select Language