我正在阅读uWSGI文档,并警告 always avoid running your uWSGI instances as root 。这背后的原因是什么?
它是否是在docker容器中运行的唯一进程(除了nginx之外),提供烧瓶应用程序是否重要?
答案 0 :(得分:3)
一般来说,安全推理表明以root身份运行不好。如果存在任何类型的错误,例如可以允许任何人执行任意代码的代码执行错误,他们将能够破坏整个系统。
如果您不以root身份运行该进程,则任何代码执行漏洞都需要与辅助权限提升漏洞配对才能破坏您的系统。
在docker容器中,这会稍微减轻,因为您可以相对轻松地恢复旧系统,但是,允许进程以root身份运行通常仍然是一种不好的做法或习惯,因为恶意攻击者可以并将窃取您服务器上可能存在的信息或将您的服务器变为恶意软件传递机制。