А что б линукс дал права сервису, надо что б у сервиса были права

Это значит что хрен мне а не энджинкс без рута?

Это значит что хрен мне а не энджинкс без рута?

повесь на 8080 порт

или еще какой

Это значит что хрен мне а не энджинкс без рута?

Ну почему, nginx же запускают от www-data, не добавляя его к руту

Ну почему, nginx же запускают от www-data, не добавляя его к руту

мастерпроцесс же от рута, не?

мастерпроцесс же от рута, не?

ммм.. а я хз, пойду чекну

мастерпроцесс же от рута, не?

Я не могу его от рута через апстарт запустить

мастерпроцесс же от рута, не?

он понижает привилегии после старта.

он понижает привилегии после старта.

мастер остается под рудом, чайлды - уже с понижеными

мастер остается под рудом, чайлды - уже с понижеными

а теперь сходите на боевой сервер и посмотрите.

он не может без рута биндится на низкие порты

ps aux | grep nginx root 1513 0.0 0.0 30520 2716 ? Ss 2016 0:00 nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf apache 29102 0.0 0.0 35088 8360 ? S 10:39 0:00 nginx: worker process

nginx 31186 0.0 0.2 2978480 68652 ? Ss 2016 0:04 nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf

любопытно

мастер процесс от рута, потом под пользователя что там прописан

А ну вон,написали

прогулялся на продакшн - там тоже так

nginx 31186 0.0 0.2 2978480 68652 ? Ss 2016 0:04 nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf

а, у меня пакет собран с systemd-юнитом про CAP_NET_BIND_SERVICE

ванильные не такие, прошу прощения за наезд.

он не может без рута биндится на низкие порты

:( нахрен это анальная огороженность. Надо думать как устроить всё это красиво. Либо уговорить заказчика чтобы все сделать по-простому сразу от root@droplet.

любопытно

Всё верно, он запускается от root, потом переходит под пользователя допустим nginx

:( нахрен это анальная огороженность. Надо думать как устроить всё это красиво. Либо уговорить заказчика чтобы все сделать по-простому сразу от root@droplet.

Не супер бьютифул вей но зато дешево и сердито.

Всё верно, он запускается от root, потом переходит под пользователя допустим nginx

ну на самом деле он запускается от того, от кого сказали. и вместо понижения привилегий можно пользоваться CAP_NET_BIND_SERVICE

рут-права ему нужны только для перебиндинга в случае релоада конфига. так-то можно было бы вытеснить основной процесс.

:( нахрен это анальная огороженность. Надо думать как устроить всё это красиво. Либо уговорить заказчика чтобы все сделать по-простому сразу от root@droplet.

что бы юзер тебе не занял ssh или еще какой нужный порт

ну на самом деле он запускается от того, от кого сказали. и вместо понижения привилегий можно пользоваться CAP_NET_BIND_SERVICE

Угу, согласен

Не супер бьютифул вей но зато дешево и сердито.

покажи апстарт то

:( нахрен это анальная огороженность. Надо думать как устроить всё это красиво. Либо уговорить заказчика чтобы все сделать по-простому сразу от root@droplet.

Щас тебя хрыч со своим селинуксом порвёт

Щас тебя хрыч со своим селинуксом порвёт

хрыч на другом канале занят, опять продвигает федору и бсд

насамонил

Щас тебя хрыч со своим селинуксом порвёт

selinux и redhat forever

в убунте ж аппармор

Вынес в отдельный скрипт

в убунте ж аппармор

Ну да. Ее логотип символизирует анус с тремя геморроидальными шишками

/home?! Серьёзно!?

Вынес в отдельный скрипт

И в апстарте ранлевел и exec upstart.sh

/home?! Серьёзно!?

А что?

Нет ничего.

Это идиотизм так делать, а так всё хорошо. А дев ветку куда пихать? тоже в home?

Сейчас меня будут бить...

Это идиотизм так делать, а так всё хорошо. А дев ветку куда пихать? тоже в home?

Нет, там username - rein

Хотя, ладно. Кому как удобно.

Пользователь rein

Я читать умею

ребята, для вас изобрели /opt вообще-то

rein, dev-rein, и т.д., в папке home, да?

не надо в /home ничего класть

rein, dev-rein, и т.д., в папке home, да?

Нет.

В home только юзеры

/opt

не надо в /home ничего класть

Ацтань! Так удобнее.

/usr/local/bin

А чем /var/www - не устроил? или /opt?

/usr/local/bin

Нет, даже я не такой идиот.

Ацтань! Так удобнее.

кому удобнее? девопсы за такое расстреливают

/usr/local/bin

Хм, нее, эт скучно!

кому удобнее? девопсы за такое расстреливают

Он же не девопс, он сам наверное не знает кто

Я ж говорил из меня херовый сисадмин

И линуксоид тем более

Нет, даже я не такой идиот.

http://pastebin.com/3XK3wtFw

Хм, нее, эт скучно!

Ну нет, это мило

попробуй так

Он же не девопс, он сам наверное не знает кто

Лучше не знать кто, чем ходить с пони на аватарке...

попробуй так

Глянем, спс.

ERROR: S client not available

лучше гуглить апстарт скрипты

Лучше не знать кто, чем ходить с пони на аватарке...

Пони на аватарках захватят мир, а ты так и останешься.. ?

чем писать баш срикпты

чем писать баш срикпты

А почему daemon off?

Пони на аватарках захватят мир, а ты так и останешься.. ?

... простым программистом который купит хату на берегу океана в Майами, да. Я согласен.

Пони на аватарках захватят мир, а ты так и останешься.. ?

недавно в питон-чате был срач адский. Один питонист потроллил другого за аватарку - и понеслось

А почему daemon off?

что бы дебаг словить

я не уверен что оно заработает

@ads_alpha а ещё раз, почему вообще возникла такая ситуация? и со стандартных реп, и с репозитория nginx'а, приезжает рабочий init-скрипт, всё делающий как ожидается

@ads_alpha а ещё раз, почему вообще возникла такая ситуация? и со стандартных реп, и с репозитория nginx'а, приезжает рабочий init-скрипт, всё делающий как ожидается

Т.е. ты мне предлагаешь свои программы запускать одним инит скриптом а энджинкс оставить со своим, чтобы сам при ребуте поднимался? А это идея.

Т.е. ты мне предлагаешь свои программы запускать одним инит скриптом а энджинкс оставить со своим, чтобы сам при ребуте поднимался? А это идея.

дисейблить не пробовал?

Т.е. ты мне предлагаешь свои программы запускать одним инит скриптом а энджинкс оставить со своим, чтобы сам при ребуте поднимался? А это идея.

я твоего контекста не знаю, но обычно так и делают

я твоего контекста не знаю, но обычно так и делают

А если энджинкс упадет посреди работы, он вроде не респаунится?

дисейблить не пробовал?

Чего дисейблить?

я думал тебе не нужно что бы он стартовал на буте

я думал тебе не нужно что бы он стартовал на буте

Конечно нужно, зачем бы я все это делал?

В какую директорию складывать рабочую директорию - похуй абсолютно! Главное в жопу не совать.

В какую директорию складывать рабочую директорию - похуй абсолютно! Главное в жопу не совать.

Absolutely true!

/var/www, /home/user, /opt/bla, /usr/local все вырианты встречал и использовал. И вот что я скажу. Абсолютно похуй!

Вот кстати здравый человек мысль то верную говорит

Именно что похуй

Но вот раньше...

Но вот раньше...

в фортране имя переменных определяло их тип

много чего было раньше

сейчас больше только традиции)

в фортране имя переменных определяло их тип

А раньше вообще перфорированные карточки были и Паскаль считали современным языком...

Хотя Паскаль и сейчас в школах преподают поэтому неоднозначно.

А раньше вообще перфорированные карточки были и Паскаль считали современным языком...

ну это я к тому, почему многие вещи несут чисто традиционный характер :) структура каталогов - одна их таких вещей

Хотя Паскаль и сейчас в школах преподают поэтому неоднозначно.

поскорее бы на питон переползли

В жопу питон. Лишает свободы оформления кода.

Уж лучше перл

ВЕНГЕРСКАЯ НОТАЦИЯ!!!