linux中 0-1024 端口是不允许非root权限用户占用的。
但是在linux中,因为安全问题,root用户禁止登陆服务器,而且又不给普通用户 sudo权限
这种情况下 nginx既要可以用普通用户启用,还要占用80端口
首先用普通用户 编辑安装nginx
目前我有三种解决方案:
方案一 :
chmod u+s /usr/local/nginx/sbin/nginx
其实就是赋予这个nignx二进制文件,能够像在root下运行
优点是,方便简单,缺点是,既然sudo权限都不给了。这个set uid 最后也是让nginx运行在root权限下。 ps -ef |grep nginx 查看的时候,nginx的主进程是运行在root下的。 虽然是可以让普通用户运行nginx服务,但是不是所有nginx进程都在用户本身下运行
方案二:端口转发
因为0-1024 的端口不能被非root用户占用 ,我们可以把监听端口修改成1024以上的端口,然后用iptables进行端口转发,把80端口的包转发到 1024以上 我们自定义的端口
首先 打开 转发功能
sysctl -w net.ipv4.ip_forward=1
-
iptables -F -t nat #清空nat表
-
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to:8088 #nat表PREROUTING 链中插入转发规则
优点:可以用第三方用户直接启动,nginx的主进程就是用户本身来启动的。缺点,额外增加开销,负载低的情况可以,负载高了 就不太好了
方案三:
nginx内核 超过2.1版本以后 出现了能力的说法,
我们可以给/usr/local/nginx/sbin/nginx 赋予监听80端口的权限能力,
1.setcap cap_net_bind_service=+eip /usr/sbin/nginx
2.ln -s /usr/sbin/nginx /usr/local/bin/
注意:
1. 修改配置文件注销user项;
# user nginx
2. 修改pid 将目录设置成nginx可以访问的目录;
pid /var/log/nginx/nginx.pid
3. 给目录设置权限;
chown -R 普通用户:普通用户 /var/log/nginx
4. 修改nginx日志
cd /etc/logrotate.d
vi nginx,修改user,pid,保存-然后重启:systemct restart rsyslog.service
这样就可以直接用普通用户启用nginx了。并且可以在高负载的情况下,减少由于端口转发部分的负载开销;
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
