当前位置: 首页 > news >正文

13、deploy 用户与权限收敛

核心目标是:

部署可以自动化执行,但 deploy 用户不能拥有不必要的系统权限。

换句话说:

能部署,但不能随便改系统。 能 reload Nginx,但不能随便重启机器。 能写应用目录,但不能改 /etc。 能拉代码和构建,但不能拿 root 当日常用户。

1. 为什么需要 deploy 用户

很多初期部署会直接用:

root

或者:

sudo su -

然后执行:

git pull npm install npm run build cp -r dist/* /usr/share/nginx/html/ systemctl reload nginx

这能跑,但风险很大。

如果部署脚本有 bug,可能误删系统目录:

rm -rf "$DEPLOY_DIR"/*

如果环境变量为空,可能变成:

rm -rf /*

如果 CI 密钥泄露,攻击者拿到的是 root 权限。

如果 npm 构建链路被污染,恶意脚本可能以 root 权限执行。

所以生产环境一般不应该用 root 做日常部署用户。


2. deploy 用户是什么

deploy 是一个专门用于发布应

http://www.cnnetsun.cn/news/3177962.html

相关文章:

  • BetterNCM安装器深度解析:Rust构建的网易云插件管理器部署方案
  • 3DS格式转换终极指南:用3dsconv轻松实现CCI到CIA的一键转换
  • Gemini 3.5 Pro或17日发布、Grok Imagine新增15秒视频生成、GPT-5.6 Sol 跑30小时超Opus | 7月5日 AI日报
  • Python 后端基础(十六):Linux 部署基础,目录、进程、端口、日志和常用命令讲清楚
  • Fastboot Enhance:Windows平台终极Android刷机工具箱,新手3分钟上手指南
  • AI 后端上下文存储:会话历史不是简单追加
  • TrollInstallerX完整指南:在iOS设备上快速安装TrollStore的终极方案
  • 推理延迟与吞吐的数学权衡:Pareto 边界上的最优 Batch Size 搜索
  • 微信小程序API安全实战:从鉴权缺失到注入漏洞的防御指南
  • 智能网盘直链解析:重新定义文件下载体验
  • 终极网盘直链下载助手完整指南:告别限速,轻松获取八大网盘真实链接
  • Rainmeter终极指南:打造属于你的Windows桌面自定义工具
  • XGBoost 2.0.3 实战:Python 调参避坑 5 要点,AUC 提升 0.15
  • 如何在算力云上部署Qwen/Qwen3-8B
  • MCP Server 压测实录:一次优化让响应时间从 8s 降到 800ms
  • B站视频下载终极指南:免费获取大会员4K高清与充电专属内容
  • LLM最新突破:从SLM到DeepSeek,微调蒸馏与推理模型全解析
  • 全网最全!2026AI写作辅助平台大盘点(覆盖 99% 毕业生论文需求)
  • YOLOv10的NMS-Free双重分配策略源码解读:一致性分配究竟是怎么做到的?
  • 2026最新8款AI编程软件平替实测|全栈开发者低成本权威多维横评
  • CompressO:终极免费开源视频压缩工具,释放95%存储空间
  • SELinux neverallow规则合规绕过:Android系统安全策略实战指南
  • ALVR无线VR串流:释放你的PC VR游戏,体验无拘无束的虚拟现实
  • WeChatMsg:如何将碎片化聊天记录转化为有价值的个人数据资产?
  • 如何在macOS上完美使用Xbox控制器:360Controller驱动终极解决方案
  • ECDICT英汉词典数据库架构设计与多语言集成方案
  • 060、超分数据集构建:从 DIV2K 到 REDS 的数据预处理与增强方法
  • ComfyUI IPAdapter Plus终极指南:深度解析图像风格迁移与多模态控制技术
  • 基于STM32单片机空气质量监测 温湿度 光照 无线传输报警系统21(设计源文件+万字报告+讲解)(支持资料、图片参考_相关定制)_
  • VisualCppRedist AIO:5分钟一键解决Windows系统DLL缺失问题