当我运行Node HTTP服务器应用程序时,通常会调用自定义函数
function runAsWWW() { try { process.setgid('www-data'); process.setuid('www-data'); } catch (err) { console.error('Cowardly refusal to keep the process alive as root.'); process.exit(1); } }
从 server.listen(8080,'localhost',null,runAsWWW);
server.listen(8080,'localhost',null,runAsWWW);
因此服务器实际上以www-data用户身份运行,以提供更好的安全性。通过发出启动Golang Web服务器时,我可以做些类似的事情go run index.go吗?
www-data
go run index.go
扩展@ JimB 的答案:
使用流程主管以特定用户的身份运行您的应用程序(并处理重新启动/崩溃,日志重定向等)。对于多线程应用程序来说setuid,这setgid通常是个坏主意。
setuid
setgid
使用操作系统的进程管理器(Upstart,systemd,sysvinit)或独立的进程管理器(Supervisor,runit,monit等)。
这是主管的示例:
[program:yourapp] command=/home/yourappuser/bin/yourapp # the location of your app autostart=true autorestart=true startretries=10 user=yourappuser # the user your app should run as (i.e. *not* root!) directory=/srv/www/yourapp.com/ # where your application runs from environment=APP_SETTINGS="/srv/www/yourapp.com/prod.toml" # environmental variables redirect_stderr=true stdout_logfile=/var/log/supervisor/yourapp.log # the name of the log file. stdout_logfile_maxbytes=50MB stdout_logfile_backups=10
此外:如果您不是反向代理,并且您的Go应用程序需要绑定到<1024端口(例如端口80或443),请使用setcap-例如:setcap cap_net_bind_service=+ep /home/yourappuser/bin/yourapp
setcap cap_net_bind_service=+ep /home/yourappuser/bin/yourapp
PS:我写了一篇关于如何使用Supervisor运行Go应用程序的文章(从“我没有安装Supervisor”开始)。
