Squid中文教程之User ID

你可能知道，unix进程和文件拥有文件和组属主的属性。你必须选择某个用户和组给squid。该用户和组的组合，必须对大部分squid相关的文件和目录有读和写的权限。

我高度推荐创建名为"squid"的用户和组。这避免了某人利用squid来读取系统中的其他文件。假如不止一个人拥有对squid的管理权限，你可以将他们加到squid组里。

unix进程继承了它们父进程的属主属性。那就是说，假如你以joe用户来启动squid，squid也以joe来运行。假如你不想以joe来运行squid，你需要预先改变你的用户ID。这是su命令的典型功能。例如：

joe% su - squid

    

squid% /usr/local/squid/sbin/squid

不幸的是，运行squid并非总是如此简单。在某些情况下，你必须以root来启动squid，这依赖于你的配置。例如，仅仅root能绑定TCP套接字到特权端口上，如80。假如你必须以root来启动squid，你必须设置cache_effective_user指令。它告诉squid，在执行完需要特别权限的任务后，变成哪个用户。例如:

cache_effective_user squid

你提供的该名字必须是有效用户（在/etc/passwd文件里）。请注意仅仅当你以root来启动squid时，你才需要用到该指令。仅仅root有能力来随意改变用户身份。假如你以joe来启动squid，它不能改变到squid用户。

你可能尝试不设置cache_effective_user，直接以root来运行squid。假如你试过，你会发现squid拒绝运行。这违背了安全规则。假如外部攻击者有能力危及或利用squid，他能获取对系统的全部访问权。尽管我们努力使squid安全和少bug，但还是稳重点好。

假如你没有设置cache_effective_user,以root来启动squid，squid使用nobody作为默认值。不管你选择什么用户ID，请确认它有对下面目录的读访问权：$prefix/etc,$prefix/libexec,$prefix/share.该用户ID也必须有对日志文件和缓存目录的写访问权。

squid也有一个cache_effective_group指令，但你也许不必设置它。默认的，squid使用cache_effective_user的默认组（从/etc/passwd文件读取）。