Я должен изменить полномочия двоичных файлов?
Минимум 4G не имеет никакого отношения к требованиям ОС, это об эффективности. Системы на 32 бита, по своей природе значения адреса должны были говорить с памятью, являющейся короче, на самом деле более эффективны в какой-то степени.
Системы на 32 бита могут только обратиться до 4G памяти за один раз. На современных ядрах Linux это ограничение для каждого процесса, поэтому даже ОС на 32 бита может использовать больше RAM, но это выполняет, это при наличии каждого приложения только обращается к некоторому блоку 4G, отгороженному перегородкой от целого притона.
То, где 64 бита входят, - то, что это может предложить процессам способность обратиться ко всей системной памяти сразу, позволив памяти голодные вещи больше, чем 4G, если им нужен он. Однако это идет с компромиссом. Так как это использует больше битов, чтобы сохранить и обработать адреса, машинный код становится больше и работает просто немного медленнее.
Следовательно можно выполнить ОС на 64 бита на 2G очень хорошо, но он действительно не имеет смысла к тому, потому что ОС на 32 бита, вероятно, будет быстрее в той же системе. Даже когда Вы пересекаете строку в большую RAM, все еще возможно, что система на 32 бита будет быстрее, потому что редко для любого отдельного процесса нуждаться в так большом количестве RAM, чаще Вы хотите выполнить много процессов что все использование некоторая часть RAM.
То, что Вы делаете, плохо.Прекрати.
Если приложение nginx принадлежит пользователю nginx и выполнение как пользователь nginx затем, когда приложение используется, оно может переписать свои собственные файлы. Вы не хотите это.
Двоичные файлы приложения должны почти всегда принадлежать root. Услуги должны почти всегда работать как nobody или другой так же non-privleged учетная запись.
Аналогично, Вы не хотите свой веб-контент, принадлежавший тому же пользователю, выполняющему веб-сервер, потому что это позволяет взломщику изменять Ваше содержание (т.е. стирать Ваш сайт).
Вы хотите использовать настолько много разделения полномочия и так же мало полномочий насколько возможно.
- Приложения, принадлежавшие
root(так толькоrootпозволяется изменить их), - Сервисы, выполняемые непривилегированными пользователями (таким образом, у них есть минимальный доступ к системе),
- Везде, где возможный пользователь услуги не должен владеть содержанием для того сервиса
-
1Спасибо, возвращенное владение для укоренения и возвратило веб-файлы обычному пользователю – ProfessionalAmateur 23.07.2012, 17:15
nginx не должен мочь записать в любой из файлов, которые Вы назвали; и на самом деле, его способность сделать так является угрозой безопасности. Взломщик, который поставил под угрозу nginx, мог затем записать то, что он хотел к Вашему веб-каталогу или конфигурационным файлам. Поэтому они принадлежали корню во-первых.
Таким образом, кажется, что Вы сделали свой сервер менее безопасным, не более безопасный.
Относительно веб-каталога нет действительно никакой потребности переместить каталог по умолчанию. Вместо этого сделайте новый nginx server блок конфигурации и место файлы для Вашего веб-сайта в общем месте отделяются из файлов по умолчанию, такой как в корневом каталоге пользователя или каталоге под /srv. Эти файлы могут затем принадлежать пользователю/группе, который будет работать над ними.
-
1Не Делает того же риска, запрашивают кого-то идущего на компромисс
rootпользователь? Я думал, что будет лучше ограничить nginx веб-сервер своим собственным пользователем по этой причине? – ProfessionalAmateur 20.07.2012, 23:49 -
2Если кто-то получает корень на Вашей машине, Вы завинчены. корень может сделать что-либо так или иначе. – Michael Hampton 20.07.2012, 23:49