问题描述：有时候部署项目不让用root用户，那么如何配置非root账户运行Nginx

解决办法：

使用非root账户运行Nginx是一个常见的做法，以增强系统的安全性和遵循最小权限原则。以下是关键步骤和注意事项，以便非root用户能够成功且安全地启动和管理Nginx：

一、修改Nginx配置文件：

• 打开Nginx的主配置文件，通常位于/etc/nginx/nginx.conf。

• 在http块或者最外层，修改user指令，使其指向你想使用的非root用户，例如：user nginx;。这样，Nginx worker进程将以指定用户身份运行。

  二、文件与目录权限：

• 确保Nginx相关文件和目录（如日志、pid文件、配置文件和网页根目录）对非root用户有适当的读写权限。使用chown和chmod命令调整。

  三、端口绑定：

• 默认情况下，非root用户不能直接绑定到1024以下的端口，包括常用的HTTP端口80和HTTPS端口443。

• 可以使用setcap命令给Nginx二进制文件赋予能力，允许它以非root用户身份绑定到低权限端口。命令如下：

  setcap cap_net_bind_service=+ep /usr/local/nginx/sbin/nginx

  但是如果用systemd服务启动nginx会报错：

  nginx: [warn] the "user" directive makes sense only if the master process runs with super-user privileges

  要解决这个警告，确保遵循以下步骤：

  1.确认master进程启动方式：确保Nginx的master进程以root权限启动。如果你正在使用systemd，可以在Nginx的systemd服务文件（通常是/etc/systemd/system/nginx.service）中设置User=root，同时保持配置文件中的user nginx;或类似的非root用户设置。systemd会负责以root启动master进程，然后master进程会切换worker进程到指定用户。

  2.使用Capabilities：如果不想让master进程一直以root运行，可以使用Linux Capabilities特性，仅赋予Nginx bind到低号端口（如80和443）的权限，而不赋予全部root权限。前面的解答中已经提到了如何使用setcap命令实现这一点。

  3.检查配置文件：确保配置文件中的user指令正确无误，指定了一个存在的、适合运行worker进程的非root用户。

  4.重新加载配置和重启Nginx：在进行任何更改后，使用nginx -t检查配置文件的语法是否正确，然后使用systemd命令重新加载配置并重启Nginx服务：

sudo systemctl daemon-reload

sudo systemctl restart nginx