nginx nobody

посмотрите в ps aux |grep nginx

от кого запущены процессы
обычно 1 мастер работает от root
и 1 или более worker работают от непривилегированного пользователя

в конфиге обычно это ставить не обязательно, т.к. uid,gid может быть задан при сборке nginx

хм я собирал вот так

./configure --with-http_ssl_module --with-openssl="/install/openssl-0.9.8l"
make
make install

вот вывод ps aux |grep nginx


root 22706 0.0 0.0 3552 540 ? Ss Nov08 0:00 nginx: master process /usr/local/nginx/sbin/nginx
nobody 22707 0.0 0.1 3868 1252 ? S Nov08 0:00 nginx: worker process

все нормально?

да, вполне
master занимается только запуском worker'ов и предоставлением им доступа к порту, установкой приоритетов, непосредственно с клиентами работает worker от nobody

после открытия сокета и установки системных лимитов рут для работы больше не нужен.

то есть что из этого следует?
старт то от рута идет и 2 процесса есть. как сказал Silvy. рутовский кильнуть что ли?)

а про то что я написала что рутовый процесс запускает воркеры не читали?
или считаете что там раз и навсегда запустились они? мастер может еще запускать, мало ли если воркер упал или .. мало вдруг (хотя на число воркеров есть отдельно настройка в конфиге)

читал. сорри вы девушка так сразу не заметил) а что имел ввиду true_admin?

то что привилегии рута не используются для обслуживания клиентских соединений, открытия файлов и т п

а ну так это понятно даже мне) хотя вот буквально месяц назад в nginxe был баг - но из за того что он под nobody толку от этого бага почти ноль)

был баг с тем что падал worker
был еще раньше другой , что можно было получить права этого воркера
не рута же)

в любом случае nobody - локальный пользователь
не стоит недооценивать опасности, если взломщик получает доступ локального пользователя (любого) , то его арсенал средств существенно расширяется уже для того чтобы получить доступ root, а если цель была кража информации , то зачастую и уже этого хватит

> в конфиге обычно это ставить не обязательно, т.к. uid,gid может быть задан при сборке


Настоящаяя гентушница. )))

[ebuild N ] www-servers/nginx-0.8.17 USE="ipv6 pcre perl ssl zlib -addition -debug -fastcgi -flv -imap -random-index -securelink -status -sub -webdav" 593 kB

в генте как раз не видно что uid/gid может быть задан в опциях ./configure )

> Настоящаяя гентушница. )))

Мечта !!! )

>> в конфиге обычно это ставить не обязательно, т.к. uid,gid может быть задан при сборке

>Настоящаяя гентушница. )))

При чем здесь гента? Я вон в дебиане scanlogd в свое время настраивал... а у этой забавной софтинки конфиг в формате *.h. Так что после каждого изменения конфига — не только перезапуск, но и пересборка для начала :D

> в генте как раз не видно что uid/gid может быть задан в опциях ./configure

Это, надеюсь, лечиться правкой ебилда?