问题：

python - gunicorn使用非root用户时的权限问题怎么破？

司徒焕

2023-07-11

使用gunicorn部署flask项目时，使用root不安全，但是不使用root就会有各种权限问题，怎么破？

上图左边为报错信息，右边为gunicorn配置信息。

其中/var/log/gunicorn_access.log和/var/log/gunicorn_error.log日志文件，我通过自己创建，然后执行chown修改了文件所有者可以通过，但是这个临时文件怎么办？名称又不固定。
求大神不吝赐教。

共有2个答案

蓝宜

2023-07-11

当使用gunicorn作为Python Web服务器时，如果您想以非root用户的身份运行应用程序，可能会遇到文件系统和权限的问题。以下是一些解决这个问题的建议：

设置用户和组：确保您的系统上有一个专门用于运行gunicorn的非root用户。可以使用useradd命令创建该用户。创建后，使用chown命令将gunicorn的配置文件、应用程序代码和其他相关文件的所有者更改为该用户。例如：
```
sudo useradd myuser  
sudo chown -R myuser:myuser /path/to/config/files  
sudo chown -R myuser:myuser /path/to/application/code
```
设置文件权限：为了确保非root用户可以访问和写入某些文件或目录，您可以使用chmod命令更改文件权限。例如，如果您想让myuser能够读写/path/to/config/files目录中的文件，可以使用以下命令：

sudo chmod 755 /path/to/config/files

这将为该目录及其文件设置适当的权限。

使用setcap命令：如果您的系统支持setcap命令，您可以使用它来授予非root用户访问某些系统功能的权限。例如，如果您的应用程序需要读取和写入网络套接字，可以使用以下命令授予cap_net_bind_service能力：

sudo setcap cap_net_bind_service=+ep /path/to/gunicorn/binary

这将授予gunicorn二进制文件访问网络套接字的能力。

请注意，使用非root用户运行敏感操作可以降低系统的安全性。在进行任何更改之前，请确保您完全理解并测试这些更改的影响。此外，建议在更改权限和用户设置之前备份相关文件和目录。

姜俊逸

2023-07-11

那你将需要用到的目录和文件都设置为非root用户呗。比如临时文件的，你虽然不知道临时文件的名称，但父级目录总该是固定的吧，将父级目录 chown non-root /path，然后该目录下的所有新文件或者目录都不会再被root权限所限制了。

共有2个答案