Nginx服务降权解决方案

最新推荐文章于 2025-02-22 16:44:28 发布
最新推荐文章于 2025-02-22 16:44:28 发布
阅读量762 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/bjgaocp/article/details/87906225
本文介绍了如何在Linux环境下为Nginx创建非root用户并配置服务,包括创建用户目录、修改配置文件以使用非80端口、设置负载均衡和反向代理。通过设置`proxy_pass`和`proxy_redirect`解决反向代理过程中的301、302跳转问题,确保服务安全稳定运行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

useradd ince
[root@web01 ~]# su - ince
[ince@web01 ~]$ mkdir logs conf www #创建必须的配置文件,日志,站点目录
cp /application/nginx/conf/mime.types /home/ince/conf/ #拷贝配置文件中网页支持类型文件
vim /home/ince/conf/nginx.conf
把配置文件的网站根目录 日志目录都改成ince用户的绝对路径
把端口改为其他端口 80端口只能root使用

/application/nginx/sbin/nginx -c /home/ince/conf/nginx.conf

worker_processes  4;
worker_cpu_affinity 0001 0010 0100 1000;
worker_rlimit_nofile 65535;
error_log  /home/ince/logs/error.log;
user www www;     
pid        /home/ince/logs/nginx.pid;
events {
    use epoll;
    worker_connections  10240;
}
http {
    include       mime.types;
    default_type  application/octet-stream;
    sendfile        on;
    keepalive_timeout  65;
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';
    server {
        listen       8080;
        server_name  www.aaa.com;
        root   /home/ince/www;
        location / {
            index  index.php index.html index.htm;
                }
         access_log  /home/ince/logs/web_blog_access.log  main;
           }
}

解决普通端口非80提供服务的问题
用负载均衡解决web服务费80端口转换问题,负载均衡器如haproxy,nginx,F5,lvs要用nat模式
nginx反向代理配置
upstream www.aaa.com {
server 192.168.1.4:8080;
server 192.168.1.5:8080;
}
server {
#侦听的本机80端口
listen 80;
server_name www.aaa.com;
location / {
index index.php index.html index.htm;
proxy_pass http://www.aaa.com;
proxy_redirect default;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_next_upstream http_502 http_504 error timeout invalid_header;
acces_log /home/ince/logs/web_.log main;
}

proxy_redirect
Nginx做反向代理,如果在header设置了Host参数,同时如果有协议和二级目录有不一致的情况的时候,
当后端服务做302、301跳转的时候,需要用proxy_redirect将后端设置在response header中的Location做转换.
如果使用“default”参数,将根据location和proxy_pass参数的设置来决定

这里找到了两种办法解决:

1.用proxy_redirect参数修改被代理服务器返回的响应头。
加一行:proxy_redirect default;

2.直接修改proxy_set_header
proxy_set_header Host $host:8080;

Nginx+Keepalived+LVS集群实战
悦分享
09-09 1945
集群的常见分类负载均衡集群(load balancing clusters),简称LBC或者LB。高可用性集群(High-availiability(HA) clusters),简称HAC。高性能计算集群(High-performance(HPC) clusters),简称HPC。网格计算(Grid computing)。提示:负载均衡集群和高可用性集群是互联网行业常用的集群架构模式。
8、nginx使用普通用户启动80端口设置方法
最新发布
xuebo1129927648的博客
07-11 53
authbind 是一款 Linux 工具,用于让非 root 用户绑定到 1024 以下的 “特权端口”(如 80、443 等)。默认情况下,Linux 仅允许 root 用户绑定这些端口(出于安全设计),但实际场景中(如运行 Web 服务),用 root 权限运行程序存在安全风险(一旦程序被入侵,攻击者可获得 root 权限)。authbind 通过特殊机制实现 “非 root 用户绑定特权端口”,兼顾安全性与功能性。
nginx降权及匹配php
m0_63306943的博客
11-26 1135
nginx降权及匹配php的原理及详细步骤
Nginx降权启动
weixin_34211761的博客
11-15 508
Nginx服务降权,用lol用户跑Nginx,给开发及运维设置普通账号,只要和lol同组即可管理Nginx,该方案解决了Nginx管理问题,防止root分配权限过大。 开发人员使用普通账户即可管理Nginx及站点以下程序问题。采取项目负责制制度,谁负责项目维护出了问题谁负责。 1. 更改nginx默认用户及用户组(worker进程优化) a.建...
nginx降权运行和php环境部署
好好睡觉
11-21 947
nginx 降权配置 nginx适配php centos7
nginx降权+安装php
WHearTBeat的博客
11-23 1058
nginx降权
《云计算》-安全策略-Nginx服务安全配置、MySql安全配置、Tomcat安全配置、修改nginx版本信息、拒绝nginx非法请求、mysql密码安全、数据安全、隐藏Tomcat版本信息
解启超
03-06 469
加固常见服务的安全 2.1 问题 本案例要求优化提升常见网络服务的安全性,主要完成以下任务操作: 优化Nginx服务的安全配置 优化MySQL数据库的安全配置 优化Tomcat的安全配置 2.2 方案 Nginx安全优化包括:删除不要的模块、修改版本信息、限制并发、拒绝非法请求、防止buffer溢出。 MySQL安全优化包括:初始化安全脚本、密码安全、备份与还原、数据安全。 Tomcat安全优化...
nginx: [alert] could not open error log file: open() “/var/log/nginx/error.log“ failed (13: Permissi
Salute
02-22 960
来自deepseek可行解答!
Nginx+keepalived集群部署步骤记录
java_YHY的博客
11-10 312
环境 系统环境为centos7.5Everything版 本部署方案仅适用于centos7.5版本,因为该版本内置多种依赖及软件,所以后续部署步骤相对简化。 nginx:http://nginx.org/en/download.html 版本:nginx-1.18.0 解压nginx文件夹 tar -zxvf nginx-1.18.0.tar.gz 安装 pcre-devel-8.32 rpm -ivh pcre-devel-8.32-17.el7.x86_64.rpm 安装zlib rpm -ivh zl
nginx降权
weixin_43557605的博客
09-26 1249
nginx降权使用普通用户启动Nginx(监牢模式) 1. 为什么要让nginx服务使用普通用户 默认情况下,nginx的master进程使用的是root用户,worker进程使用的是nginx指定的普通用户,使用root用户跑nginx的master进程有两个大问题: (1)管理权限必须是root,这就使得最小化分配权限原则遇到问题 (2)使用root跑nginx服务,一旦网站出现漏洞,用户就...
nginx安全优化(四)降权
cangqiong_xiamen的博客
06-10 926
使用普通用户启动Nginx 1.1让Nginx服务使用普通用户 默认情况下,Nginx的Master进程使用的是root用户,Worker进程使用的是Nginx指定的普通用户,使用root用户跑Nginx的Master进程有两个最大的问题 管理权限必须是root,这就使得最小化分配权限原则遇到难题 使用root跑Nginx服务,一旦网站出现漏洞,用户就可以很容易获得服务器的root权限 1.2...
降权启动进程
ckkyjtqlt的专栏
07-05 2180
需求:管理员启动了安装包并安装完后需要启动程序。此时希望是以当前登录用户来启动,而不是以管理员用户来启动(安装包是管理员权限,直接启动因为权限继承原因,程序也会是管理员权限)思路:利用当前explorer.exe进程的token去创建目的进程DWORD  GetExplorerToken(int nProcessId,OUT PHANDLE  phExplorerToken) {   DWO...
nginx的安装与nginx降权+匹配php
weixin_60719780的博客
11-27 909
1.gcc 可以编译 C,C++,Ada,Object C和Java等语言(安装 nginx 需要先将官网下载的源码进行编译,编译依赖 gcc 环境)2.pcre pcre-devel pcre是一个perl库,包括perl兼容的正则表达式库,nginx的http模块使用pcre来解析正则表达式,所以需要安装pcre库3.zlib zlib-devel zlib库提供了很多种压缩和解压缩方式nginx使用zlib对http包的内容进行gzip,所以需要安装。
修改linux的shell限制,Nginx下解决WebShell访问限制问题
weixin_32334251的博客
05-13 270
直入主题公布修改方法wget http://www.php.net/get/php-5.2.10.tar.gz/from/this/mirrorwget http://php-fpm.org/downloads/php-5.2.10-fpm-0.5.13.diff.gztar zxvf php-5.2.10.tar.gzgzip -cd php-5.2.10-fpm-0.5.13.diff.gz ...
nginx 配置文件解析
攻防人生3722的博客
03-13 454
nginx 的配置文件 #main 全局配置模块 #user nobody; 指定nginx worker 进程工作的用户或用户组 默认nobody worker_processes 1; # 指定nginx要开启的子工作进程数,通常是主机cpu的整数倍。 #error_log logs/error.log; 指定错误日志文件位置及级别 【debug / info / no...
nginx常见问题
weixin_46651125的博客
07-19 5668
Keepalived的作用是检测服务器的状态,如果有一台web服务器宕机,或工作出现故障,Keepalived将检测到,并将有故障的服务器从系统中剔除,同时使用其他服务器代替该服务器的工作,当服务器工作正常后Keepalived自动将服务器加入到服务器群中,这些工作全部自动完成,不需要人工干涉,需要人工做的只是修复故障的服务器。
Nginx 配置文件
书启鸿蒙知秋枫
05-29 3507
一、全局配置 1. user nobody:运行Nginx的默认账号 主模块命令, 指定 Nginx 的 worker 进程运行用户以及用户组,默认由 nobody 账号运行。 2. worker_processes:工程进程数 指定 Nginx 要开启的进程数 单个节点的 nginx 启动有 1 个 master 进程和 n 个 worker 进程 1 个 worker 进程 5 个 worker 进程 ./nginx -s reload 重新加载 nginx.con
普通用户nginx访问不了_Nginx降权启动之使用普通用户管理 | it运维_it技术_linux运维-追梦人博客...
weixin_36422707的博客
12-24 614
一、介绍1.1、什么是nginx降权启动降权启动:即nginx的启动与管理使用非root用户来启动与管理,这样就防止每次修改配置重启时都需要用root用户来重启了。注意:普通用户只能只用1024以上的端口,不可以直接使用80或者443端口(前面可以用代理来解决这一问题)。二、实践操作说明:使用www用户来管理与启动nginx。2.1、如果是新装的系统需要做基础优化2.2、首先要编译安装nginx前...
nginx: [warn] the "user" directive makes sense only if the master process runs with super-user privileges, ignored in /usr/local/nginx/conf/nginx.conf:
04-18
</think>### 解决方案Nginx用户指令警告的根本原因与修复方法 #### 一、问题根源分析 当Nginx主进程(master process)**未以root用户启动**时,配置文件中`user`指令会触发警告并被忽略[^1][^2][^3]。这是因为:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值