目录

前言：

步骤一：先查询nginx相关信息

1、查询操作系统版本：cat /etc/redhat-release

2、查询nginx安装路径：如果不知道nginx安装目录，使用：find / -name nginx（全局查找nginx应用）

3、切换到nginx父目录下查看nginx目前所属主：所属组权限属于root还是普通用户

 4、查看nginx当前启动所属用户：当前nginx启动用户是属于root权限

5、由于当前nginx启动用户是root，在root下测试nginx配置是正常的，但在普通用户下测试nginx配置会报错。

步骤二：修改nginx启动用户从root改为普通用户

 1、修改nginx所属主和所属组为普通用户（修改之前nginx所属主和所属组为root）

2、修改nginx配置文件

3、允许普通用户下启动1024以下端口(应用程序端口大于1024的话不用执行此步骤)

   4、关闭nginx服务

 5、以普通用户权限启用nginx

 6、查看当前nginx启动所属用户：此时主进程和子进程所属用户为普通用户

 步骤三：检查nginx配置是否是正常

1、在root下测试nginx配置是正常的，在普通用户下测试nginx配置也是正常的。

步骤四：回退方案

1、撤销允许普通用户下启动1024以下端口

 2、修改nginx所属主和所属组为管理用户（修改之前nginx所属主和所属组为appuser）

3、修改nginx配置文件

 4、关闭nginx服务

 5、以root用户权限启用nginx

 6、查看当前nginx启动所属用户：此时主进程和子进程所属用户为root用户

7、检查nginx配置是否是正常

---

前言：

一般我们在安装nginx时为了方便安装部署均会考虑使用root权限进行nginx的安装部署，但我们在使用root安装部署后，因为默认端口使用的是80端口，为加固网址的访问安全会生成ssl秘钥进行https方式访问，此时使用端口是443，因服务器安全方面考虑，root权限太大，安全团队不建议使用root权限进行安装部署并运行nginx，但由于Linux机制，不允许普通用户启用1024以下端口，因此我们需要改端口大于1024，但由于一般情况下https方式访问端口默认是443，此时我们想要把nginx以root权限运行改为普通用户权限运行就会出现困难，接下来告诉大家如何把以root运行nginx权限改为以普通用户权限运行nginx，本人亲测有效，此文章仅供参考（具体的根据实际情况进行更改，在操作前一定要做快照，以防应用出现故障）

步骤一：先查询nginx相关信息

1、查询操作系统版本：cat /etc/redhat-release

        此次已centos7.6为例，其他操作系统需自己研究测试

 

2、查询nginx安装路径：如果不知道nginx安装目录，使用：find / -name nginx（全局查找nginx应用）

        本人nginx安装路径：/usr/local/nginx/

3、切换到nginx父目录下查看nginx目前所属主：所属组权限属于root还是普通用户

 4、查看nginx当前启动所属用户：当前nginx启动用户是属于root权限

                使用ps -ef|grep nginx命令查询发现主进程和子进程都是root

5、由于当前nginx启动用户是root，在root下测试nginx配置是正常的，但在普通用户下测试nginx配置会报错。

       5.1：在root用户下测试nginx配置是正常的：/usr/local/nginx/sbin/nginx -t 

        5.2：在普通用户下测试nginx配置是会报错的：/usr/local/nginx/sbin/nginx -t 

步骤二：修改nginx启动用户从root改为普通用户

 1、修改nginx所属主和所属组为普通用户（修改之前nginx所属主和所属组为root）

        在root用户下执行：chown -R appuser:appuser /usr/local/nginx/

        修改后nginx当前所有文件都属于普通用户权限

2、修改nginx配置文件

        由于nginx安装时默认使用root权限允许，由于改为普通用户权限运行nginx，所以需要把user这行注释掉，否则检查配置文件时会报错，nginx.conf配置文件内user为root，找到第三行需要注销这行

3、允许普通用户下启动1024以下端口(应用程序端口大于1024的话不用执行此步骤)

         由于在 linux 下，只有以 root 启动的进程才能监听小于 1024 的端口。nginx 如果设置了监听 80 或 443 端口，必须得以 root 用户启动，所以为了让普通用户下启动nginx，需允许普通用户可以启动小于1024端口的进程，

Kernel从2.2版本开始，提供了Capabilities功能，它把特权划分成不同单元，可以只授权程序所需的权限，而非所有特权，具体详情参考：linux setcap指令,Linux下setcap详解_燕山美发的博客-CSDN博客

        3.1：在root用户下输入命令：setcap cap_net_bind_service=+eip [nginx启动命令路径]，看到nginx命令会变成红色，说明成功：

        命令扩展：# 设置权限

                                setcap cap_net_bind_service=+eip [nginx启动命令路径]

                        # 清除附加权限

                                setcap -r [nginx启动命令路径]

                        # 查看附加权限

                                getcap [nginx启动命令路径]

        3.2：查看是否设置成功（显示红色代表允许普通用户运行此程序）

   4、关闭nginx服务

        可以使用命令关闭nginx：/usr/local/nginx/sbin/nginx -s stop，也可以使用kill -9 pid进行杀死程序

 5、以普通用户权限启用nginx

        切换到普通用户下执行：/usr/local/nginx/sbin/nginx进行启用nginx服务

 6、查看当前nginx启动所属用户：此时主进程和子进程所属用户为普通用户

        ps -ef |grep nginx

 步骤三：检查nginx配置是否是正常

1、在root下测试nginx配置是正常的，在普通用户下测试nginx配置也是正常的。

       1.1：在root用户下测试nginx配置是正常的：/usr/local/nginx/sbin/nginx -t 

        1.2：在普通用户下测试nginx配置是正常的：/usr/local/nginx/sbin/nginx -t 

至此，nginx在安装时使用root权限进行安装并启用，如何更改为普通用户权限运行nginx验证完成

步骤四：回退方案

1、撤销允许普通用户下启动1024以下端口

        setcap -r [nginx启动命令路径]

 2、修改nginx所属主和所属组为管理用户（修改之前nginx所属主和所属组为appuser）

        在root用户下执行：chown -R root:root /usr/local/nginx/

        修改后nginx当前所有文件都属于root权限

3、修改nginx配置文件

        由于nginx安装时默认使用root权限允许，由于改为普通用户权限运行nginx，把user这行注释掉了，否则检查配置文件时会报错，找到第三行需要去掉注销的这行的#，nginx.conf配置文件内user为root，

 4、关闭nginx服务

        可以使用命令关闭nginx：/usr/local/nginx/sbin/nginx -s stop，也可以使用kill -9 pid进行杀死程序

 5、以root用户权限启用nginx

        切换到普通用户下执行：/usr/local/nginx/sbin/nginx进行启用nginx服务

 6、查看当前nginx启动所属用户：此时主进程和子进程所属用户为root用户

        ps -ef |grep nginx

7、检查nginx配置是否是正常

        7.1：nginx修改回root权限运行并启用程序，在root用户下测试nginx配置是正常的，在普通用户下测试nginx配置是报错的

               7.1.1：在root用户下测试nginx配置是正常的：/usr/local/nginx/sbin/nginx -t 

               7.1.2：在普通用户下测试nginx配置是报错的：/usr/local/nginx/sbin/nginx -t 

至此，nginx更改为普通用户权限运行nginx服务的回退方案验证完成