为了保证生产环境服务器的安全,在工作中有一个规范,要求我们运行的服务都要求以非登陆的普通用户运行,从而防止程序本身的漏洞被利用被* * *提权!比如我们在编译安装nginx, mysql以及php之前都会通过useradd建立非登陆的普通用户,然后在编译的时候指定该用户。类似这种的服务都是本身原生支持以普通用户运行的。但是有些程序并不是原生支持,在编译时候没有提供这个功能。只能编译后我们重新修改指定普通用户来运行。比如今天我们要举例的复述。废话少说,今天我们一起来学习下,如何让复述,服务以普通用户运行。
1。建立普通用户
groupadd复述 useradd复述,- m - g复述,s/sbin/nologin
2。提前创建必要的目录
mkdir/var/run/redis pv,,乔恩复述。复述,/var/run/redis - r
mkdir/usr/local/redis/data/pv,,乔恩复述。复述,/usr/local/redis/data/- r mkdir/var/log/redis/pv,,乔恩复述。复述,/var/log/redis/- r
(pid目录,默认是/var/运行/但是仅限根用户创建,如果普通用户运行的,必须在其下自创目录,并乔恩授权)
注意:我们的appendonly。aof文件默认是644权限,其他用户只读。所以修改普通用户前,看看该文件在哪个路径下,并且检查是否乔恩复述了,也可以给他直接加w权限,但是为了安全不推荐。
3。修改配置文件的pidfile,日志文件以及dir的位置
4。修改服务启动文件
vim/usr/lib/systemd/system/redis.服务
主要添加用户,组,PIDFile。
