Nginx根目录的所有父级目录的修改权限不能赋予除root和Nginx运行用户的其他普通用户

最新推荐文章于 2022-12-13 12:29:26 发布
原创 最新推荐文章于 2022-12-13 12:29:26 发布 · 1.7k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #安全基线

本文详细阐述了Nginx安全配置的重要原则,强调Nginx根目录及其父目录的权限管理,确保仅root和Nginx运行用户可进行修改,防止普通用户篡改关键文件。

规则描述:

不仅文件本身,Nginx根目录必须只能由属主来改写,Nginx根目录的所有父级目录的修改权限不能赋予除root和Nginx运行用户的其他普通用户。如果Nginx根目录 的某一父级目录的修改权限可以被其它普通用户拥有,那这个用户就可以删除这个父级目录下面原来的目录或文件然后新建同名的目录或文件,达到对目录下所有文 件进行篡改控制的目的。

根据:

审计描述:

检查Nginx根目录及其父目录的属主是否为root或Nginx运行用户。

修改建议:

如果要配置Nginx根目录为/etc/nginx,首先要确认/、/etc目录只能由root修改,/etc/nginx目录只有root或Nginx运行用户才有修改权限,其他用户不能具备

这些目录的修改权限。

检测用例信息:

检测描述

期望结果

检测结果

检查目录权限是否合法

nginx运行用户:nginx运行用户组 755

/etc/nginx nginx:www 755;\n/etc/nginx/nginx.conf nginx:www 644;

 

nginx 配置多个目录
zhaoyangjian724的专栏
09-17 1万+
server { listen 8001; server_name localhost; #charset koi8-r; #access_log logs/host.access.log main; location / { root /t/deploy/zjdev/
NGINX---temp相关目录属主被篡改成nobody
qq_41768644的博客
07-24 1763
某天生产上突然有大量交易报错,一步一步查询下来,最终发现nginx的缓存temp目录的属主被篡改成了nobody,应用用户没有权限读取导致nginx的交易报错。
1.nginx_add_after_body
weixin_30731305的博客
03-30 475
语法: add_before_body uri;默认值: —配置段: http,server,location发起一个子请求,请求给定的uri,并且将内容追加到主题响应的内容之前。 语法: add_after_body uri;默认值: —配置段: http, server, location发起一个子请求,请求给定的uri,并且将内容追加到主题响应的内容之后。 syntax: addit...
权限管理禁止用户su - root并记录用户操作记录实验!
weixin_34401479的博客
02-26 313
  本文目的:整理在实验环境中配置的禁止普通用户用su - root来获取root权限的操作记录。实验还添加了history添加用户详细记录,并配置了使用script记录用户操作,测试用户操作还原的过程。一、修改禁止su - root权限配置:1、修改PAM配置文件:#vi /etc/pam.d/su#%PAM-1.0auth sufficient...
linux root 拒绝访问权限,Linux下禁止通过root权限访问
weixin_42441072的博客
04-29 3626
※不设置一般用户,一旦使用root权限登录遭到拒绝,则不能再登入服务器。※请一定依照以下步骤设置一般用户,并设定不可使用root权限登录1使用SSH登录服务器2添加一般用户例:以添加一个叫“serversman”的一般用户为例进行说明※添加的用户名可以是任意的。[root@vps]# useradd serversman3为已添加的一般用户设置密码[root@vps]# passwd server...
Linux下禁用root的方法
chenwei3390的专栏
04-01 1062
1. 修改 Root 用户的登陆 Shell 此方法会禁用sshsu,编辑 /etc/passwd 文件 root:x:0:0:root:/root:/bin/bash 修改root:x:0:0:root:/root:/sbin/nologin 此后,使用 Root 用户登陆只会显示一条信息 “This account is currently not available” 2. 禁止 Root 用户通过 SSH 登陆 此方法会禁用ssh,但仍可以使用普通用户su root,编辑 /e.
修改nginx站点根目录总结经验(小结)
09-30
总之,修改Nginx的站点根目录涉及修改配置文件调整文件权限。务必谨慎操作,以防止影响服务器的正常运行。在整个过程中,确保每个步骤都按照最佳实践进行,以确保服务器的安全性稳定性。希望这个总结能帮助你...
详解nginx服务器绑定域名设置根目录的方法
09-30
这包括了修改nginx.conf配置文件,设置server_name来绑定域名,使用root指令指定根目录,以及如何通过复制server块来实现多站点配置等。掌握了这些基本的配置方法后,相信你可以更加灵活地使用Nginx来管理你的网站...
精选资源
Nginx网站根目录更改及导致403 forbidden的问题解决
01-20
一、更改根目录 Nginx默认网站根目录为/usr/local/nginx/html,要将它改成/home/fuxiao/www 更改方法: vi /usr/local/nginx/conf/nginx.conf 将其中的 location / { root html; index index....
详解Nginx服务器绑定域名及设置根目录操作
08-01
本文将介绍如何在Nginx服务器上绑定域名设置根目录。 首先,找到Nginx配置文件。通常,配置文件位于安装目录下的conf文件夹中,文件名为nginx.conf。使用文本编辑器(如vim)打开并编辑该文件。在配置文件中,...
禁用root登录以及使用sudo分配权限
weixin_30652271的博客
04-03 336
前言 最近一段时间服务器有受到一些挖比特币的人的攻击,这里就简要说明一下提升服务器安全度的做法 禁用root登录 root权限可以说是linux服务器的最高权限,如果我们平常都是直接使用root用户来登录的话 其实是一个很不安全的行为,一个是防止平时的一些操作失误,另一个也是防止黑客在攻破我们 服务器的时候可以有最高的权限来做一些坏事 一、创建普通用户并设置密码 [root@p...
nginx 共同父目录下某个目录取消auth_basic认证
筑梦之路
12-13 877
nginx 取消父目录下的某个子目录访问认证
问题解决:nginx执行命令后临时目录权限为nobody
a961634066的博客
08-20 6475
1. 问题 执行了nginx -t,nginx -s reload,重启了nginx,发现部分POST接口请求出现了500错误,然后,查看Nginx错误日志,类似如下:nginx open() "/usr/local/nginx/client_body_temp/ failed (13: Permission denied) 然后查看对应的目录权限,发现nginx用户权限变更了 2. 解决 我们的nginx服务启动用户nginx,当时我执行nginx -t 操作时用的是root用户,如果执.
lnmp开发laravel的nginx配置
Lee的程序空间
06-08 728
## # You should look at the following URL's in order to grasp a solid understanding # of Nginx configuration files in order to fully unleash the power of Nginx. # http://wiki.nginx.org/Pitfalls #
linux网站权限设置方法,网站安全配置,linux网站权限
sh2018的博客
06-14 1098
目的:为了保证网站不遭受木马入侵上传及修改文件。 相对安全的权限: 1、站点内所有目录文件的用户组都应该是root 2、所有目录权限默认的755 3、所有文件权限默认的644 (不能改文件) 1+2,网站服务用户nginx不能目录里面写文件,即nginx用户不能在里面写文件了,木马就杜绝了。 注意:网站服务的程序使用的用户不能root,可以用nginx 以上权限设置可以防止木马,但是用户上传的内容也被拒之门外,怎么设置让正常客户端上传文件? 解决方法 1、大多数网站做法 c..
Linux文件,目录权限管理
lyzzs222的博客
08-16 2543
Linux下文件目录都有相应的权限权限规定了普通用户的行为。约束了普通用户,但是约束不了rootroot不是普通用户。本文主要讲解文件,目录权限的意义,以及如何修改。先看看下面两图,方便后面学习。...
Linux——(一)常见指令及权限理解
graceyun的博客
10-01 512
目录Linux 初识Linux下的基本指令ls 指令pwd命令 Linux 初识 文件目录的区别 Linux下的基本指令 ls 指令 语法: ls [选项][目录或文件] 功能:对于目录,该命令列出该目录下的所有子目录与文件。对于文件,将列出文件名以及其他信息。 常用选项: -l 列出文件的详细信息。 -a 列出目录下的所有文件,包括以 . 开头的隐含文件。 -d 将目录像文件一样显示,而不是显示其下的文件。 如:ls –d 指定目录 -i 输出文件的 i 节点的索引信息。 如 ls –ai 指定文件 -
Nginx目录及基本信息介绍
一个非常Cool的人
11-11 2062
非常适合Nginx初学者在linux系统上安装Nginx,并将其配置成系统服务、开机启动等,还说到了Nginx中的一些基础配置,以及安装是报的错误应该怎么办。对Nginx配置文件的目录也有讲解。
nginx常见内置变量$uri$request_uri
热门推荐
gushaolin的博客
12-31 3万+
这里介绍nginx常见内置变量uriuriurirequest_uri代表的值,首先先看nginx配置: [root@CentOS7-2 conf.d]# cat default.conf server { listen 80; server_name localhost; #charset koi8-r; #access_log /var/...
怎么给用户赋予root目录权限
最新发布
09-20
<think> 我们正在讨论如何给Linux用户赋予root目录权限。需要注意的是,直接赋予普通用户root目录权限是极其危险的,因为root目录(/)包含系统核心文件配置,不当操作可能导致系统崩溃。然而,在某些特殊情况下(如系统维护或特定服务配置),可能需要有限度地授予权限。 根据引用[1][2][3],Linux中用户权限管理通常通过以下方式实现: 1. 将用户加入sudoers文件,使其可以通过sudo执行特权命令。 2. 使用ACL(访问控制列表)为特定用户或组设置目录的访问权限。 3. 更改目录的属主或属组,并设置相应的权限。 但是,对于root目录(/),我们通常不建议更改其所有权或权限设置。安全做法是: - 通过sudo机制临时获取root权限执行必要操作。 - 使用ACL为特定用户添加需要目录的读写权限(而非整个根目录)。 以下为具体步骤: ### 方法1:通过sudo赋予特权(推荐) 1. 将用户添加到sudoers文件,使其能够使用sudo命令: ```bash sudo usermod -aG sudo username # Ubuntu/Debian sudo usermod -aG wheel username # CentOS/RHEL ``` 2. 用户可在命令前加`sudo`来执行需要特权的操作,例如: ```bash sudo ls /root # 查看/root目录 ``` ### 方法2:使用ACL设置特定目录权限(谨慎使用) 若必须开放根目录下某一子目录(例如`/custom_dir`)的权限: ```bash # 安装ACL工具(若未安装) sudo apt-get install acl # Debian/Ubuntu sudo yum install acl # CentOS/RHEL # 为指定用户赋予目录的读写执行权限 sudo setfacl -R -m u:username:rwx /custom_dir ``` ### ⚠️ 警告 - 绝对不要将整个根目录(`/`)的权限赋予普通用户,这等同于赋予其完全控制系统能力,会引发严重安全风险。 - 如引用[4]所述,系统关键目录(如Nginx根目录父目录)的权限必须严格控制。 ### 替代方案:受限访问 若需频繁访问系统文件,可考虑: 1. 创建符号链接到用户目录: ```bash sudo ln -s /path/to/system/dir /home/username/link_name ``` 2. 使用`bindfs`挂载目录用户可访问位置: ```bash sudo bindfs /path/to/system/dir /home/username/mount_point ``` ### 相关问题 1. 如何撤销已赋予用户的sudo权限? 2. Linux中ACL权限管理的原理是什么? 3. 如何安全地共享系统目录给多个用户? 4. 哪些系统目录绝对不能修改权限? 5. 如何监控用户对特权目录的访问? > **关键提示**:权限分配应遵循最小权限原则[^1]。对于生产环境,建议使用审计机制(如`auditd`)跟踪敏感目录访问[^2]。 [^1]: Linux权限管理基础:https://www.linux.com/training-tutorials/understanding-linux-file-permissions/ [^2]: ACL详细指南:https://linux.die.net/man/1/setfacl </think> ### 🔑 如何安全地赋予用户 root 目录权限 在 Linux 系统中,**直接赋予普通用户 root 目录(`/`)的完整权限是极其危险的操作**,会严重破坏系统安全机制[^4]。以下是推荐的权限授予方法,遵循最小权限原则: #### 📌 方法一:通过 sudo 机制(推荐) ```bash # 1. 将用户加入sudo组(Ubuntu/Debian) sudo usermod -aG sudo username # 2. 或编辑sudoers文件(所有发行版通用) sudo visudo # 添加以下内容: username ALL=(ALL:ALL) NOPASSWD: ALL # 免密码sudo %groupname ALL=(ALL) ALL # 整个组赋予权限 ``` - ✅ 优点:权限可精确控制,记录所有特权操作 - ❗ 注意:避免使用`ALL=(ALL) ALL`无限制权限[^1] #### 📌 方法二:更改目录所有权(慎用) ```bash # 仅限非系统关键目录操作(如自定义目录) sudo chown -R username:groupname /path/to/directory sudo chmod -R 770 /path/to/directory # 读写执行权限 ``` - ️ 警告:**绝对不要对以下目录操作**: ```bash /bin /sbin /usr /etc /var /boot /root ``` #### 📌 方法三:ACL 细粒度控制 ```bash # 1. 启用文件系统ACL(需分区支持) sudo tune2fs -o acl /dev/sda1 # 2. 授予特定用户权限 sudo setfacl -m u:username:rwx /specific/path # 3. 验证权限 getfacl /specific/path ``` - 适用场景:共享目录的多用户权限管理[^3] #### 📌 安全操作示例 ```bash # 创建受控管理账户 sudo useradd -m -s /bin/bash adminuser sudo passwd adminuser # 仅允许管理特定目录 echo "adminuser ALL= (root) NOPASSWD: /usr/bin/systemctl restart nginx" | sudo tee -a /etc/sudoers ``` ### ⚠️ 关键安全准则 1. **禁止操作根目录**: ```bash # 以下操作将导致系统崩溃! sudo chown -R user:user / # 灾难性操作! sudo chmod 777 / # 系统将无法启动! ``` 2. **遵循权限分层原则**: - Root 目录权限必须保持 `drwxr-xr-x (755)`[^4] - 关键二进制文件(如 `/bin`, `/sbin`)必须属主为 `root:root` 3. **审计机制**: ```bash # 监控特权操作 sudo auditctl -w / -p wa -k root_access ``` ### 📚 相关问题 1. 如何撤销已赋予的 sudo 权限? 2. Linux 文件权限 755 777 有何本质区别? 3. 如何安全地共享 `/var/www` 目录给开发人员? 4. 误操作 chmod 777 / 后如何恢复系统? 5. SELinux 如何增强目录访问控制? 6. 如何配置 sudo 仅允许特定时间段执行特权命令? > **核心原则**:永远遵守最小权限原则(Principle of Least Privilege)。建议使用容器化技术(如 Docker)替代直接系统权限操作[^2]。 [^1]: Linux 权限管理基础:https://www.redhat.com/sysadmin/linux-file-permissions-explained [^2]: 最小权限实践指南:https://ubuntu.com/server/docs/security-users [^3]: ACL 高权限控制:https://linuxconfig.org/how-to-manage-acls-on-linux [^4]: 系统目录安全规范:https://security.stackexchange.com/a/129388
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值