openresty网站生产环境部署中的用户安全

最新推荐文章于 2025-06-27 19:28:04 发布
原创 最新推荐文章于 2025-06-27 19:28:04 发布 · 782 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#openresty

本文介绍如何使用OpenResty和Lua解决网站部署时遇到的用户权限问题,通过init_by_lua_file和ngx.shared.configCache实现敏感配置的安全加载。

最近使用 openresty + 制做网站 lua-resty-template 做了个网站, 这个框架的优点就是一个字"快", 但部署到linux服务器上时却遇到了用户权限的问题,在这记录下解决的方法.

痛点:

1.nginx 用户分两个 "启动用户" 和 "工作用户" , 如果以root启用,并且不指定工作用户的话,那么默认使用一个叫 "nobody" 的用户,这个用户的权限比较低,对一些文件是没有访问权限的.

2.如果建立一个用户并同时设置为"工作用户"和"启动用户" 那么将会将整个网站中所有的文件暴露出去,包括项目中的各种敏感配置文件,比如所连接的数据数密码.另外以普通用户启动nginx的话是无法设置"工作用户"的.会收到提示:

the "user" directive makes sense only if the master process runs with super-user privileges, ignored in ...

意思就是以普通用户启动的nginx,再设置工作用户是没有意义的.

那我怎么才能即让用户访问到特点的资源,而又不把整个网站都暴露出去呢!

 

解决方法:

   总体来说就是使用 openresty 的 init_by_lua_file  加 ngx.shared.configCache

原理 :

    init_by_lua_file 是在 nginx 的 master process 上 worker process 之前运行的, 所以说它是以 "启动用户"来运行的, 那么在init_by_lua_file阶段把配置读到ngx.shared.configCache中去,然后再在各worker process中取得就好了.

示例:

   把项目的 conf 目录和资源目录分配给不同的用户, 如 把conf 目录分给用户 "root"  , 把资源目录分给用户 "www"

<
最低0.47元/天 解锁文章
十六、OpenResty 奇门术——OpenResty 的常用功能与常见问题
流楚丶格念的博客
09-08 1088
在 Nginx 配置文件中定义共享内存区域,用于保存后端服务器的状态信息,如响应时间和健康状态。
openresty安全机制-白名单
龙哥·三年风水从2011年开始做IT工作,从ps画图到前端开发->后端开发->框架开发->业务架构设计及开发->业务需求整理、开发->技术经理->技术总监
08-08 2046
web发布之openresty-openresty安全配置(白名单)-centos7
Linux运维之路-安全防护OpenResty
weixin_33985679的博客
01-06 462
1 OpenResty简介 OpenResty是一个基于Nginx与 Lua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关。 2 OpenSty安装 系统环境说明: [root@jranson ~]# ...
安全学习安全加固openResty卡第十二天
蟋蟀15型
07-31 851
本文为苏尚武老师运维安全课程课程笔记 安装OpenResty yum install -y readline-devel pcre-devel openssl-devel git wget vim openssl-devel gcc curl tar -zxvf ngx_openresty-1.9.3.2.tar.gz ...
openresty配置网页服务器,openresty入门-web服务器搭建
weixin_39962199的博客
08-04 875
傻瓜式的跟着教程一步步安装:准备条件:1:linux 操作系统。2:make,gcc,gdb等一堆工具的安装3:openresty依赖的安装。apt-get installlibreadline-dev libpcre3-dev libssl-dev perl4:wget https://openresty.org/download/openresty-1.15.8.3.tar.gz下载源码5:...
waf绕过基于OpenResty的WEB安全防护(CVE-2018-9230)
weixin_30593443的博客
04-20 980
0x00 前言 ​ OpenResty® 是一个基于 Nginx 与 Lua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。 OpenResty官网:https://openresty.org 漏洞编号:CVE-2018-9230 漏洞简介:OpenResty 通过ngx.req.get_uri_args、ngx.req.get_post_arg...
Linux 普通用户安装openresty
有机小白菜
10-29 1623
penResty®是一个基于Nginx与 Lua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关。 1.用root用户安装依赖包 yum install perl yum install gcc yum install gcc-c++ yum install zlib yum install zlib-devel; 2.下载openresty ​ wge...
Docker OpenResty 工具:简化 OpenResty 应用部署
- 一致性:开发环境生产环境一致性得到了保证,因为应用运行在相同的 Docker 镜像上。 - 可移植性:Docker 镜像可以在任何支持 Docker 的机上运行,无需考虑底层操作系统和依赖库。 - 环境隔离:每个容器都是...
lnmp-utils项目是一个专为Linux生产环境设计的一键式高性能Web服务器与数据库集成安装包_它基于CentOS7X_64操作系统并集成了openresty作为Nginx增.zip
最新发布
12-06
lnmp-utils项目为Linux生产环境提供了一套强大的Web服务器和数据库的集成解决方案,通过一键式安装和管理简化了复杂的配置流程,使得高性能的Web服务搭建和维护变得更加容易。无论是对于经验丰富的系统管理员还是...
openresty
07-10
我们正在讨论OpenResty(基于Nginx的Web平台)的安全最佳实践,特别是针对以下问题: ...4. 如何监控生产环境安全头的有效性? [^1]: 安全响应头配置参考 Mozilla 开发者文档和 OWASP 安全标准
WAF和openResty配置开机启动
04-30
NULL 博文链接:https://yunlong167167.iteye.com/blog/2403751
openresty实战(二):openresty安装部署
sre救赎之路
06-27 844
通过以上步骤,你可以在 CentOS/Rocky Linux 系统上成功部署 OpenResty,并根据实际需求选择最合适的安装方式。配置优化后,OpenResty 可以提供高性能的 Web 服务和 API 网关能力。
nginx和openresty的使用
热门推荐
sxl47的专栏
03-30 1万+
从哪些方面进行分享 nginx与openresty是什么 nginx与openresty的用途 nginx与openresty怎么用(配置和使用) 1. nginx与openresty是什么 nginx 简介 nginx是nginx之父lgor Sysoev(塞索耶夫)为俄罗斯访问量第二的rambler.ru站点设计开发的http服务器。 nginx 特点 高性能:单机轻松支持10万并发连...
Openresty通过Lua+Redis实现动态封禁IP
高性价比服务器就选:蓝易云
04-26 666
然后,获取客户端IP地址,并在Redis中查找是否存在以"banned:"为前缀的键。在网络安全的世界里,IP封禁是一种常见的防御手段。当我们发现某个IP地址正在进行恶意行为,如DDoS攻击、爬虫抓取等,我们可能会选择封禁该IP以保护系统。总结一下,在网络安全防护上我们可以利用OpenResty强大灵活的Lua脚本能力,结合Redis的高性能内存存储,实现动态、高效、灵活的IP封禁策略。这种方法具有很高灵活性和效率:你可以随时添加或删除被封禁的IP,并且所有操作都在内存中完成,速度非常快。
openresty(nginx)+ lua + redis实现接口防刷
qq_30029665的博客
05-10 1503
而限流是指比如是在搞活动期间流量突增,假设我们的后端的服务器有个接口最大能抗住 1000QPS,但是在这个时间点突然进来了 2000QPS,请求经过限流之后,按照请求的时间先后,先放过我们设定 900 个请求,其余的请求会在队列里等待之前的请求处理完成,而不是像防刷一样直接返回异常。我们的防刷已经完成了,超量的请求就到不了后端了,而且这个 IP 还会被锁一段时间,但是对于阈值的设定必须要往大了设置,避免刷掉有效的请求。的结果,第一次出现的结果和上面(上图)一致,第二次的结果如下。
4.Nginx整合OpenResty+Lua (黑名单控制、内网访问限制、资源下载限速、日志分析、漏桶原理、令牌桶原理)
weixin_43620238的博客
08-05 1792
Nginx整合OpenResty+Lua (黑名单控制、内网访问限制、资源下载限速、日志分析、漏桶原理、令牌桶原理)
openresty版本的nginx+lua实现接口签名安全认证
reblue520的专栏
08-27 3933
一)需求背景现在app客户端请求后台服务是非常常用的请求方式,在我们写开放api接口时如何保证数据的安全,我们先看看有哪些安全性的问题请求来源(身份)是否合法?请求参数被篡改?请求的唯一性(不可复制)二)为了保证数据在通信时的安全性,我们可以采用参数签名的方式来进行相关验证案例:我们通过给某 [移动端(app)] 写 [后台接口(api)] 的案例进行分析: 客户端: 以下简...
OpenResty(nginx+lua+resty-http)实现访问鉴权
小小明-代码实体的专栏
12-04 4975
OpenResty 是一个基于 Nginx 和 LuaJIT 的动态 web 平台。它通过在 Nginx 中集成 LuaJIT,允许在 Nginx 服务器上运行 Lua 脚本,增加了 Nginx 的灵活性和可扩展性。首先下载并解压原版Nginx带有可以很方便的将Nginx注册为系统服务。下面我复制原版Nginx中的文件 到 新解压的目录中。然后修改文件为如下内容:-- 服务名 --> < id > nginx
【并发优化】一、OpenResty 结合 Lua、Redis 实现请求高并发策略
qq_34416331的博客
05-29 3173
一、整体架构 1. OpenResty、Lua、Redis实现二级缓存 2. 缓存预热/冷启动 => 数据库崩溃 => 激活方式: 1. 服务激活 2. 配置Lua,手动激活 3. Nginx限流
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值