为了安全应该使用非root用户启动nginx

原创 于 2025-07-10 17:27:22 发布 · 764 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #数据库 #前端

nginx基线安全,修复步骤。主要是由于使用了root用户启动nginx。为了安全应该使用非root用户启动nginx

一、检查项和问题

检查项分类检查项名称
身份鉴别检查是否配置Nginx账号锁定策略。
服务配置检查Nginx进程启动账号。
服务配置Nginx后端服务指定的Header隐藏状态
服务配置Nginx的WEB访问日志记录状态
服务配置Nginx的WEB访问日志记录状态
服务配置Nginx的WEB访问日志记录状态
服务配置Nginx的WEB访问日志记录状态
服务配置Nginx的WEB访问日志记录状态
服务配置检查Nginx进程启动账号。
身份鉴别检查是否配置Nginx账号锁定策略。
身份鉴别检查是否配置Nginx账号锁定策略。
服务配置检查Nginx进程启动账号。
身份鉴别检查是否配置Nginx账号锁定策略。
服务配置检查Nginx进程启动账号。
身份鉴别检查是否配置Nginx账号锁定策略。
服务配置检查Nginx进程启动账号。
身份鉴别检查是否配置Nginx账号锁定策略。
服务配置检查Nginx进程启动账号。
身份鉴别检查是否配置Nginx账号锁定策略。
身份鉴别检查是否配置Nginx账号锁定策略。
服务配置检查Nginx进程启动账号。
身份鉴别检查是否配置Nginx账号锁定策略。
服务配置检查Nginx进程启动账号。
服务配置Nginx后端服务指定的Header隐藏状态

二、修复步骤

1. 创建专用用户和组

sudo groupadd nginx
sudo useradd -g nginx -s /sbin/nologin -M nginx

 2、

2. 修改 Nginx 配置文件

编辑主配置文件 /etc/nginx/nginx.conf,在顶部添加或修改:

user nginx nginx;

3. 调整文件和目录权限

# 修改 Nginx 主目录权限
sudo chown -R nginx:nginx /var/log/nginx
sudo chown -R nginx:nginx /var/cache/nginx
sudo chown -R nginx:nginx /etc/nginx

# 确保日志目录可写
sudo chmod -R 755 /var/log/nginx

4. 修改端口问题

非 root 用户无法绑定 1024 以下端口,有两种解决方案:

server {
    listen 8080;
    # 其他配置...
}

5. 测试配置并启动

# 测试配置
sudo nginx -t

# 以非root用户启动
sudo -u nginx nginx

6. 设置开机启动(可选)

编辑 systemd 服务文件 /lib/systemd/system/nginx.service,修改 User 和 Group

[Service]
User=nginx
Group=nginx

注意事项

  1. 确保非 root 用户对网站文件有读取权限

  2. 如果使用 SSL 证书,确保证书文件可读

  3. 某些功能(如平滑升级)可能需要 root 权限

  4. 监控日志确保没有权限问题

通过以上步骤,Nginx 将以非 root 用户身份运行,提高系统安全性。

nginx在安装时使用root权限进行安装并启用,如何更改为普通用户权限运行nginx(亲测)
m0_67403073的博客
09-11 6768
深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
nginxroot用户启动
LOUISLIAOXH的专栏
02-20 971
nginxroot用户启动
普通用户(root)使用nginx
Skywin88的博客
07-21 1万+
适用于使用rpm安装的nginx 系统centos7 添加nginx安装源 rpm -ivh http://nginx.org/packages/centos/7/noarch/RPMS/nginx-release-centos-7-0.el7.ngx.noarch.rpm 安装nginx yum install -y nginx 启动nginx和配置nginx开机启动 service nginx start && chkconfig nginx on 由于nginx需要使用的默认端口号是8
nginx使用root用户启动的一些总结
rliang1314的专栏
02-28 2214
nginx使用root用户启动的一些总结
nginx修改成root用户启动
weixin_44953227的博客
08-22 5720
nginx修改成root用户启动 linux新建用户参考: https://blog.csdn.net/weixin_44953227/article/details/125757350 nginx安装目录 nginx专属用户 修改配置文件nginx.conf注释掉带有user的行
nginxroot用户启动
热门推荐
guojun0807的博客
11-09 1万+
1、创建新用户      因切换服务器,考虑到安全问题,所有应用都必须使用root用户,创建了用户newhope      因为项目比较旧了,以前是以root用户启动的,怕出问题所以先拿root用户做的验证,验证通过后把NGINX所有者改成newhope,中间也出现过一些问题都是没有权限的问题      chmod -R newhope:newhope /opt/*  nginx在opt下
普通用户启动nginx使用80端口
03-06
### 普通用户启动Nginx使用80端口的方法详解 #### 背景介绍 在Linux系统中,默认情况下,只有root用户才能绑定1024以下的端口号,包括常用的Web服务端口80(HTTP)和443(HTTPS)。然而,在某些场景下,出于安全...
centos root安装nginx
01-28
root权限下安装Nginx,即不使用管理员权限进行安装,需要一些额外的步骤和技巧。下面将详细介绍这个过程。 首先,由于在root环境下安装软件会受到权限限制,因此我们需要确保我们有足够的权限来创建目录、...
root安装nginx.docx
09-08
6. **服务启动与管理**:使用root用户启动、停止或重启Nginx服务。 #### 四、详细步骤详解 ##### 1. 准备依赖库 - 下载所需的依赖库,如PCRE、Zlib等。 - 解压缩这些依赖库文件,并按照官方文档中的指示进行编译...
nginx 使用root用户启动
05-12
为了提高系统的安全性,我们通常不建议使用 root 用户启动 nginx 服务。下面是一些基本的步骤,以 root 用户身份启动 nginx: 1. 创建一个 root 用户,比如 nginx,用于启动 nginx。 2. 确保该用户nginx ...
手把手教你nginx用户启动root启动(亲测有效)
ityw520的博客
11-27 1万+
0、创建用户: 1、 chown -R nginx:nginx /usr/local/nginx/ 2、ll 3、su nginx 4、[nginx@iZ8vbhpdx00o7gki539holZ sbin]$ ./nginx 5、ps
root用户启动nginx报错
The way of Super God
02-14 3296
nginx用户执行 ./nginx 出现下面报错 nginx: [warn] the "user" directive makes sense only if the master process runs with super-user privileges, ignored in /home/nginx/nginx_dev/conf/nginx.conf:2 nginx: [emerg] b...
nginx使用root)普通用户启动
代码创造世界
07-05 1万+
使用nginx过程中,发现用root用户启动nginx存在在一些安全隐患,经查询,发现nginx默认端口号是80,如果使用使用普通用户启动,只用使用1024以上的端口号,1024以内的端口号只能由root用户启动 1.修改其配置文件 vim /usr/loacal/conf/nginx.conf server { listen 1025; //端口1024以上就行,根据自己情况定义 serv...
root权限启动nginx
CutelittleBo的博客
08-02 3263
ps:因为root不能启动1024以下端口,正常要使用80和443 端口,如果端口大于1024可以跳过此步骤。注释第一行 #user nobody;
root用户启动nginx 80端口
05-27 4568
chown root nginx chmod +s nginx
会这个就够了-Visual paradigm – community
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
03-09 1万+
不开源可免费用的软件设计工具:Visual paradigm – community为软件工程师、系统分析员、商业分析员、系统建筑师而设计的一个UML CASE工具。1.下载安装:免费的官网社区版链接为:https://www.visual-paradigm.com/download/community.jsp注意:安装过程中需要输入邮箱进行验证,按提示做即可2.设置中文菜单Window--&...
JAVA开发(记一次504 gateway timeout错误排查过程)
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
06-27 1万+
最近在发布一个web项目,在测试环境都是可以的,发布到生产环境通过IP访问也是可以的,但是通过域名访问就出现504 gateway timeout。通过postman去测试接口也是一样。ip和端口都可以通,域名却不行,百思不得其解。通过一顿百度搜索,解析说通过nginx配置文件配置这几个地方
nginx配置支持ipv6访问,ipv4改造ipv6
最新发布
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
03-08 1万+
双栈技术:在计算机系统中同时安装IPv4和IPv6两个协议栈,使得系统既支持IPv4也支持IPv6协议。当需要连接IPv4设备时,使用IPv4协议栈;当需要连接IPv6设备时,使用IPv6协议栈。这种方法能够避免在过渡期内出现网络瓶颈的情况,但会增加网络维护成本和设备复杂度。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

奋力向前123

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值