Я ищу способ выполнить узел через PM2 при чтении закрытого ключа SSL, который помещается в безопасный каталог.
Подробнее: Стек Bitnami LEMP с Узлом
полномочия для/etc/ssl/private:
drwx------ 2 root root 4096 private
полномочия для файла ключей:
-rw-r----- 1 root root 1704 my_key_file.key
С вышеупомянутыми полномочиями и nginx и php хорошо работают без проблем безотносительно (я предполагаю, что это вызвано тем, что ведущее устройство nginx обрабатывает выполнения как корень?), и так делает рабочий узел как sudo.
Однако я хотел бы выполнить этот код узла как некорневой пользователь, так как это уменьшает угрозу безопасности, должен сервер узла быть поставленным под угрозу.
Каковы мои опции здесь? Путем я понимаю это, это - что-то как эти опции:
Любой вид справки значительно ценится!Спасибо
Вы можете создать группу с именем ssl-cert
и добавить в эту группу pm2user
.
sudo groupadd ssl-cert
sudo usermod -a -G ssl-cert pm2user
Затем измените группу каталога / etc / ssl / private
и его содержимое на ssl-cert
. Вам также потребуется добавить групповые разрешения на выполнение для закрытого каталога
.
sudo chown -R root:ssl-cert /etc/ssl/private/
sudo chmod 650 /etc/ssl/private/
sudo chmod 640 /etc/ssl/private/my_key_file.key
Это позволит PM2 получить доступ к файлу. Это более или менее безопасно? Это может зависеть от того, кто имеет доступ к серверу и насколько широко используется группа ssl-cert
. Сведите использование группы к абсолютному минимуму: только учетные записи без входа.
Вероятно, вам потребуется перезапустить службы Nginx и PM2, чтобы они повторно подключились с новыми разрешениями.