nginx在AppArmor策略中真的需要dac_override吗?
发布时间:2020-12-13 21:16:04 所属栏目:Nginx 来源:网络整理
导读:我正在为Ubuntu 14.04中的nginx构建AppArmor策略,如果不启用dac_override功能,我无法使其工作. nginx真的需要启用这个吗?还是有办法解决它?覆盖所有自主访问控制看起来很有风险,但可能在AppArmor约束中很常见. nginx运行良好无限制,所以我认为没有权限问题
|
我正在为Ubuntu 14.04中的nginx构建AppArmor策略,如果不启用dac_override功能,我无法使其工作. nginx真的需要启用这个吗?还是有办法解决它?覆盖所有自主访问控制看起来很有风险,但可能在AppArmor约束中很常见. nginx运行良好无限制,所以我认为没有权限问题,但我是AppArmor的新手,所以我可能错了. 最佳答案
Ubuntu中nginx日志的默认文件权限是rw-r —–.这些文件归www-admin:adm所有.
nginx在用户root下启动,默认情况下具有CAP_DAC_OVERRIDE功能(请记住root可以读取和写入系统中的任何文件)但是一旦AppArmor限制启动,该进程即使以root身份运行也会失去该功能,因此主nginx进程无法打开日志文件. 解决方案是更改权限,以便root也可以写入这些文件,或将dac_override功能添加到AppArmor nginx配置文件. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |