Tôi muốn tạo API bằng Nginx (trên máy chủ Ubuntu) có thể chạy các quy trình (thực thi lệnh) nhưng dữ liệu www không phải là người dùng có quyền truy cập vào dữ liệu mà các quy trình này sẽ hoạt động. Cách thông thường để làm điều này mà không ảnh hưởng đến an ninh. Nói cách khác, làm cách nào để API thực hiện các lệnh như một người dùng khác?
Câu trả lời:
Dữ liệu www chỉ là người dùng chạy quy trình NGINX theo mặc định, tôi cho rằng API của bạn đang chạy phía sau NGINX, sau đó API của bạn sẽ thực thi dưới dạng dữ liệu www. Để giải quyết vấn đề tôi cho là vấn đề về quyền mà bạn gặp phải khi kiểm tra, bạn cần thay đổi quyền của dữ liệu (nếu cục bộ) để cho phép người dùng và / hoặc nhóm dữ liệu www đọc / ghi hoặc tạo người dùng mới cho NGINX chạy.
Một vài gợi ý khi làm việc với NGINX:
Đừng cấp quyền truy cập root cho người dùng đang chạy máy chủ web của bạn, vì khi đó ứng dụng web của bạn sẽ có quyền truy cập root trên hệ thống của bạn, mở ra các lỗ hổng không cần thiết.
Đừng để dữ liệu của bạn ở chế độ công khai (quyền mở cho tất cả người dùng) mà hạn chế chúng cho chủ sở hữu và người dùng cụ thể sẽ truy cập vào họ, ngay cả khi bạn nghĩ rằng máy chủ của bạn được bảo mật.
Nếu đây không phải là những gì bạn đang tìm kiếm, xin vui lòng giải thích để có câu trả lời tốt hơn và chính xác hơn.
Chỉnh sửa: nhận ra rằng tôi không bao giờ đưa cho bạn các lệnh để chuyển người dùng:
Để sửa đổi quyền trên một tệp, bạn có thể sử dụng chmod và chown , ví dụ để thay đổi quyền của tệp đối với người dùng dữ liệu www:
chmod 500 file1 file2 file3
chmod -R 500 directory1/
chown www-data:www-data file1 file2 file3
chown -R www:data:www-data directory1
Nên bắt đầu với bạn!
Trân trọng