以 root 身份运行像 Unicorn 这样的 Web 服务器是否存在安全风险?
Nginx 主进程以 root 身份运行,Nginx 工作进程以受限的 www-data 用户身份运行,但我无法设置另一个用户(如 www-data)来运行 Unicorn 主进程/工作进程,而不会弄乱 www-data 的PATH。
答案1
这绝对是一种安全风险。这意味着如果有人利用 unicorn 做一些不该做的事情,他们就会获得您机器的 root 权限,而不是极其有限的 www-data 权限。您应该能够修改启动 unicorn 的脚本中的 PATH。无论如何,修改 PATH 肯定不如您建议的以 root 身份运行的替代方案那么糟糕。