Google提供的广告› ›为什么能看到用root身份而不是nobody身份执行的apache？
为什么能看到用root身份而不是nobody身份执行的apache？
扫一扫分享文章到微信扫一扫关注官方公众号至顶头条
当一个新的http请求到来的时候，以root启动的httpd进程会开启一个新的进程这个新的进程将使用httpd.conf中指定的User和Group身份来启动　无法启动更多的进程来满足服务需要了所以，存在root身份启动的httpd进程是正常的，不是安全问题。
日关键字：
　　为什么能看到用root身份而不是nobody身份执行的apache？
　　解决方案
　　在linux的apache上，apache的启动身份是root
　　当使用root启动httpd进程后，httpd会在80端口做监听
　　当一个新的http请求到来的时候，以root启动的httpd进程会开启一个新的进程
　　这个新的进程将使用httpd.conf中指定的User和Group身份来启动
　　随后这个新的进程会提供网络服务
　　此时，如果中止了以root身份启动的那个httpd进程
　　则剩余的以nobody身份执行中的进程还会继续运行
　　但是无法启动更多的进程来满足服务需要了
　　所以，存在root身份启动的httpd进程是正常的，不是安全问题。
　　如下：
　　[root@3.3.11Biz-41 ~]# ps aux | grep httpd
? Ss 09:33 0:00 /usr/sbin/httpd
　　nobody
? S 11:00 0:00 /usr/sbin/httpd
　　nobody
? S 11:00 0:00 /usr/sbin/httpd
　　nobody
? S 11:00 0:00 /usr/sbin/httpd
　　nobody
? S 11:00 0:00 /usr/sbin/httpd
　　nobody
? S 11:00 0:00 /usr/sbin/httpd
　　nobody
? S 11:00 0:00 /usr/sbin/httpd
　　nobody
? S 11:00 0:00 /usr/sbin/httpd
　　nobody
? S 11:00 0:00 /usr/sbin/httpd
　　nobody
? S 17:10 0:00 /usr/sbin/httpd
　　[root@3.3.11Biz-41 ~]#
如果您非常迫切的想了解IT领域最新产品与技术信息，那么订阅至顶网技术邮件将是您的最佳途径之一。
北京第二十六维信息技术有限公司（至顶网）版权所有. 京ICP备号-7 京ICP证161336号
京公网安备 00号没有更多推荐了，
加入CSDN，享受更精准的内容推荐，与500万程序员共同成长！烂泥：nginx、php-fpm、mysql用户权限解析
时间： 07:38:45
&&&& 阅读：7584
&&&& 评论：
&&&& 收藏：0
标签：&&&&&&&&&&&&&&&&&&本文首发于。前几天学习了，在nginx下搭建wordpress博客。在《》文章中，我们特别提到了有关程序运行在哪个用户下面。这篇文章我们就特别来讲解下，nginx、php-fpm以及mysql运行在各个用户下的配置。先来做个说明：nginx本身不能处理PHP，它只是个web服务器。当接收到客户端请求后，如果是php请求，则转发给php解释器处理，并把结果返回给客户端。如果是静态页面的话，nginx自身处理，然后把结果返回给客户端。Nginx下php解释器使用最多的就是fastcgi。一般情况nginx把php请求转发给fastcgi管理进程处理，fastcgi管理进程选择cgi子进程进行处理，然后把处理结果返回给nginx。在这个过程中就牵涉到两个用户，一个是nginx运行的用户，一个是php-fpm运行的用户。如果访问的是一个静态文件的话，则只需要nginx运行的用户对文件具有读权限或者读写权限。而如果访问的是一个php文件的话，则首先需要nginx运行的用户对文件有读取权限，读取到文件后发现是一个php文件，则转发给php-fpm，此时则需要php-fpm用户对文件具有有读权限或者读写权限。首先，我们来查看nginx运行在什么用户下。使用ps命令进行查看，如下：ps aux|grep nginx通过上图我们可以很明显的看到nginx的父进程是运行在root用户下的，而子进程时运行在nobody用户下，而且只有一个子进程。这个和我们在nginx的配置文件中，配置的一致。如下：more /usr/local/nginx/conf/nginx.conf注意：nginx如果没有配置运行用户的话，默认是使用nobody用户运行。使用nobody运行nginx安全性是比较高的。以上是nginx的运行用户。现在我们来查看下php-fpm的运行用户，使用ps命令。如下：ps aux |grep php-fpm通过上图，我们可以看到php-fpm的父进程运行在root用户下，而子进程全部运行在apache用户下。我们再来看看mysql数据库运行在哪个用户下面，使用ps命令查看。如下：ps aux |grep mysql通过上图我们可以看到，mysql运行在mysql用户下，而且其PID确实和保存在/var/run/mysqld/mysqld.pid中的一样。以上就是nginx、php-fpm、mysql的运行在各个用户下的情况。我们来开始测试实际生产环境中的配置，在《》文章中我们已经配置好了，虚拟主机a.ilanni.com。如下：我们来看看a.ilanni.com虚拟主机根目录的所属用户及用户组，如下：在实际生产环境中，我们一般的配置是nginx与php-fpm都运行在nobody用户下，而且网站的根目录也要属于nobody用户，并且根目录对nobody用户具有所有权限。这样配置是最安全的，因为nobody用户最安全。即使黑客攻破了网站，但是也不能登录系统。现在我们先不进行任何配置，使用各自的默认用户发表一篇文章来看看实际的效果。对于wordpress发表文章，我一般都是通过windows live writer这个博客客户端发表的。我们现在还是通过这个客户端来发表一篇只有文字没有图片的文章，如下：通过上图，我们可以很明显的看到，这篇测试文字的文章已经成功发布。接下来我们再来测试一篇图文并茂的文章，如下：通过上图，我们可以看到带有图片的文章是没有办法发布的。windows live writer已经提示出错。为什么带有图片的文章就不能发布呢？其实这个问题很简单，文章中的图片需要先上传到网站的根目录下，然后才能正常访问。现在php-fpm运行在apache用户下，而问题是apache用户对虚拟主机a.ilanni.com根目录没有访问权限，更没有写入权限。所以就会出现上述的问题，windows live writer不可以发布带有图片的文章。那么如何解决这个问题呢？其实很简单的，我们在前面都已经说了。nginx涉及到两个用户，一个是nginx运行的用户，一个是php-fpm运行的用户。如果访问的是一个静态文件，则只需要nginx运行的用户对文件具有读取权限。而如果访问的是一个php文件，则首先需要nginx的运行用户对文件有读取权限，读取到文件后发现是一个php文件，则转发给php-fpm，此时则需要php-fpm用户对文件具有读取权限。我们现在需要做的就是统一naginx与php-fpm运行用户为nobody，然后把nginx的虚拟主机a.ilanni.com网站根目录对nobody用户及nobody用户组具有所有权限。nginx已经运行在nobody用户下，我们就不进行调整了。我们来调整php-fpm运行用户，php-fpm我们是通过yum方式进行安装的。而且使用的还是默认配置，该配置文件为/etc/php-fpm.d/www.conf。现在开始编辑该文件，修改其运行的用户级用户组。如下：vi /etc/php-fpm.d/www.conf编辑完毕后，重启php-fpm。如下：/etc/init.d/php-fpm restartps aux|grep php-fpm通过上图，我们可以看到目前php-fpm已经运行在nobody用户。php-fpm运行用户修改完毕后，我们现在来修改虚拟主机的根目录用户及用户组。如下：chown nobody:nobody -R a.ilanni.com/虚拟主机a.ilanni.com根目录所属用户及用户组修改完毕后，也要注意修改nobody对虚拟主机a.ilanni.com根目录的权限。通过上图我们可以看到，目前nobody用户已经对虚拟主机a.ilanni.com根目录已经具有控制权限。以上权限修改完毕后，我们再来通过windows live writer发布图文文章。如下：通过上图，我们可以看到。该文图文章已经被成功的发布到wordpress中。我们再来看下，wordpress中的图片存放位置。ll /ilanni/a.ilanni.com/wp-content/uploads/2014/09以上就是nginx、php-fpm、mysql在实际使用过程中用户的配置。按理说，文章到这我们就应该结束了。但是为了更能和我们的实际生产环境相结合，我们来延伸下。如果说我们现在这个wordpress是一个项目，该项目正在开发。而开发人员我们是没有在linux系统中开通相关账户的，只开通了一个FTP账户。但是开发人员又要上传代码和修改相关的代码，怎么办呢？这个就需要结合Vsftpd虚拟名用户来进行设置。有关这方面的资料，可以参考我以前的文章《烂泥：vsftpd虚拟用户与匿名用户配合使用》。先来安装vsftpd，使用yum方式。安装完毕后，我们就来配置vsftpd。具体配置后的文件内容如下：vi /etc/vsftpd/vsftpd.conflocal_enable=YESwrite_enable=YESlocal_umask=022dirmessage_enable=YESxferlog_enable=YESconnect_from_port_20=YESxferlog_file=/var/log/xferlogxferlog_std_format=YESidle_session_timeout=600ftpd_banner=http.chroot_list_enable=YESchroot_list_file=/etc/vsftpd/chroot_listlisten=YESlisten_port=2121pasv_min_port=6000pasv_max_port=6150userlist_enable=YEStcp_wrappers=YESguest_enable=YESguest_username=nobodypam_service_name=vsftpduser_config_dir=/etc/vsftpd/vu_confvirtual_use_local_privs=yes其中guest_enable=YES表示启用vsftpd虚拟用户，就是所有登录到FTP的用户在系统都是虚拟用户。guest_username=nobody表示虚拟用户对应的系统用户为nobody用户。virtual_use_local_privs=yes表示启用vsftpd虚拟用户，并且虚拟用户和本地用户有相同的权限。pam_service_name=vsftpd启用vsftpd验证。然后再配置vsftpd虚拟用户的目录，如下：vi vu_conf/ilannilocal_root= /ilanni/a.ilanni.com通过上述配置后vsftpd的虚拟用户ilanni，就已经对nginx的虚拟主机a.ilanni.com根目录具有完全控制权限。从而也就达到了通过vsftpd控制项目的目的。本文出自 “” 博客，请务必保留此出处标签：&&&&&&&&&&&&&&&&&&原文地址：http://ilanni.blog.51cto.com/1097
&&国之画&&&& &&&&chrome插件
版权所有 京ICP备号-2
迷上了代码！