nginx 是用 nobody 运行,另外有一个用户 petter 主要是维护一大堆证书(公钥和私钥),我以为,根据 linux 的文件权限读取规则,建立一个 ssl 用户组,让 nobody 和 petter 都加入进去,再把整个证书存放目录设置为 petter:ssl ,就可以让 nginx 读取。
但实测并不能,nginx 处理访问触发读取 ssl 证书的时候,会报错无权限读取 ssl 证书,摸索了一番后,发现只有把证书拥有者改为 nobody ,nginx 才能读取并正常处理访问。
“进程的拥有者只能读取自己拥有的证书”?这与理解的 linux 文件权限读取逻辑有点不一样,这是 linux 内核对这种操作的特殊处理,还是 nginx 自己定的规则?
但实测并不能,nginx 处理访问触发读取 ssl 证书的时候,会报错无权限读取 ssl 证书,摸索了一番后,发现只有把证书拥有者改为 nobody ,nginx 才能读取并正常处理访问。
“进程的拥有者只能读取自己拥有的证书”?这与理解的 linux 文件权限读取逻辑有点不一样,这是 linux 内核对这种操作的特殊处理,还是 nginx 自己定的规则?
第 1 条附言 · 2 小时 21 分钟前
贴一下自己新的摸索结果:
1 、nginx1.15.9+openssl 1.0.2 就开始支持证书路径使用变量配置,一旦使用了变量,ssl 证书的读取就交给 worker 进程(也就是这里的 nobody 用户),否则会由主进程读取(一般是 root 用户);
2 、如果是 worker 进程读取,将会每次请求都去读,吞吐性能大概下降 4 成;
3 、root 是权限大王 ,所以它读取的时候可以无视文件配置,但如果是非 root 用户(假设就是这里的 nobody 用户)读取,就要遵循 linux 文件权限规则;
4 、上面失败的主要原因,是只关注了整个路径的“目录”和“文件”的 r 权限,实际需要对每一个“目录”增加 x 权限,才能给到相应的用户(或用户组所在用户)“找得到”,我理解为可当作对目录执行 ls 命令所以需要 x 权限;
5 、回到开始自己的需求,是希望在 nginx 配置中,可以对 ssl 证书的存放“目录前缀”进行统一设置,以便我更改 ssl 证书存放目录时,不需要对每个配置文件都一一修改,但奈何 nginx 的 ssl 路径的变量处理有点“激进”,目前能想到的只有依赖系统的 symbolic link 来实现。
1 、nginx1.15.9+openssl 1.0.2 就开始支持证书路径使用变量配置,一旦使用了变量,ssl 证书的读取就交给 worker 进程(也就是这里的 nobody 用户),否则会由主进程读取(一般是 root 用户);
2 、如果是 worker 进程读取,将会每次请求都去读,吞吐性能大概下降 4 成;
3 、root 是权限大王 ,所以它读取的时候可以无视文件配置,但如果是非 root 用户(假设就是这里的 nobody 用户)读取,就要遵循 linux 文件权限规则;
4 、上面失败的主要原因,是只关注了整个路径的“目录”和“文件”的 r 权限,实际需要对每一个“目录”增加 x 权限,才能给到相应的用户(或用户组所在用户)“找得到”,我理解为可当作对目录执行 ls 命令所以需要 x 权限;
5 、回到开始自己的需求,是希望在 nginx 配置中,可以对 ssl 证书的存放“目录前缀”进行统一设置,以便我更改 ssl 证书存放目录时,不需要对每个配置文件都一一修改,但奈何 nginx 的 ssl 路径的变量处理有点“激进”,目前能想到的只有依赖系统的 symbolic link 来实现。
9 条回复 • 2024-12-04 17:33:58 +08:00
 |
1
saka1zd 23 小时 6 分钟前
证书的权限设置了啥
|
 |
2
adoal 23 小时 0 分钟前  1
想多了,证书文件只是普通文件,对 Linux 内核来说跟其它文件没有什么不同。
不如先找一个能登录的其它用户,加入 ssl 组,看看能不能打开证书文件。 |
 |
3
dzdh 22 小时 59 分钟前
acl
|
 |
4
goodryb 22 小时 33 分钟前
同一个用户组也要看你给文件的权限 600 同一个用户组也访问不了,起码 640
|
 |
5
liaohongxing 22 小时 28 分钟前
要用 chmod 给文件夹加组读权限, 也 644 ,ls 表现为: -rw-r--r-- (644) 只有拥有者有读写权限;而属组用户和其他用户只有读权限。
|
|
6
liaohongxing 22 小时 28 分钟前
或者楼上 640
|
 |
7
hguandl 22 小时 20 分钟前
我感觉更常见的方案是用 nginx.conf 来设置用户。master process 启动时一般是 root 权限,读取配置后再 fork 出 worker process 并 setuid 。
|
 |
8
ysc3839 22 小时 13 分钟前 via Android
我个人是让证书更新程序和 nginx 都使用 www 用户。隔离不需要太细,能起到隔离作用就行了。
@hguandl 这么干问题更多,master process 还是 root 身份运行,还是有安全风险。且更新证书后要 reload 的话,只能以 root 权限发信号。 |
 |
9
NevadaLi 1 小时 24 分钟前
setfacl -Rm u:nginx-user:r /path/of/certs
setfacl -Rm u:petter:rw /path/of/certs setfacl -dm u:nginx-user:r /path/of/certs setfacl -dm u:petter:rw /path/of/certs setfacl -Rm u:nginx-user:x /path setfacl -Rm u:petter:rx /path setfacl -Rm u:nginx-user:x /path/of setfacl -Rm u:petter:rx /path/of # 解释说明: 第一组的四条分别设置 nginx-user 允许读取权限,petter 允许 rw ,新的文件默认也遵循前两条;第二和第三组允许俩用户进入证书所在的父目录。 注意:nginx-user 只是一个名字,可以直接设置 nginx 运行的 uid ,权限也设置成相同 uid 就好,比如 setfacl -Rm u:81:r /path/of/certs |
Select Language