哪吒监控还能用吗？ 最小权限运行哪吒

#油管
https://youtu.be/yi1Oj6o2xNM

主控从root降级

创建nezha用户（禁止登录、无家目录）
useradd -r -M -s /usr/sbin/nologin nezha

停止主控服务
systemctl stop nezha-dashboard

将nezha主控所在目录的权限交给nezha
chown -R nezha:nezha /opt/nezha/dashboard

修改 Systemd 服务文件
打开：
/etc/systemd/system/nezha-dashboard.service

加入：
User=nezha
Group=nezha

就在：
#User=root
#Group=root
附近

刷新 systemd 控制中心
systemctl daemon-reload

启动哪吒主控
systemctl start nezha-dashboard

验证降权是否成功
ps aux | grep /opt/nezha/dashboard/app | grep -v grep

应该看到
nezha 607930 1.0 1.5 1791608 91136 ? Ssl 08:59 0:01 /opt/nezha/dashboard/app

被控从root降级

创建nezha用户（禁止登录、无家目录）
useradd -r -M -s /usr/sbin/nologin nezha

停止被控服务
systemctl stop nezha-agent

将nezha被控所在目录的权限交给nezha
chown -R nezha:nezha /opt/nezha/agent

修改 Systemd 服务文件
打开：
/etc/systemd/system/nezha-agent.service

加入：
User=nezha
Group=nezha

就在：
[Service]
User=nezha
Group=nezha
附近

刷新 systemd 控制中心
systemctl daemon-reload

启动哪吒被控
systemctl restart nezha-agent.service

验证降权是否成功
ps aux | grep nezha-agent | grep -v grep

应该看到
root 598635 0.0 0.1 4064 1968 pts/0 S+ 01:15 0:00 grep nezha-agent

agent降级一键命令：

useradd -r -M -s /usr/sbin/nologin nezha && \
systemctl stop nezha-agent && \
chown -R nezha:nezha /opt/nezha/agent && \
chmod 750 /opt/nezha/agent && \
chmod 660 /opt/nezha/agent/config.yml && \
sed -i '/\[Service\]/a User=nezha\nGroup=nezha' /etc/systemd/system/nezha-agent.service && \
systemctl daemon-reload && \
systemctl restart nezha-agent.service && \
echo "==== 🎉 降权配置完成！正在验证进程身份 ====" && \
ps aux | grep /opt/nezha/agent/nezha-agent | grep -v grep

打开
/etc/nginx/nginx.conf

将
user root;
改为
user www-data;

移交 Nginx 的运行日志和缓存目录
chown -R www-data:www-data /var/log/nginx
chown -R www-data:www-data /var/lib/nginx

给 Nginx 证书目录放行通行权
chmod 750 /etc/ssl/private

重启
systemctl restart nginx

测试
ps aux | grep nginx | grep -v grep
应该显示
root 406703 0.0 0.2 25784 2708 ? Ss 03:07 0:00 nginx: master process /usr/sbin/nginx -g daemon on; master_process on;
www-data 406705 0.0 0.4 25784 3816 ? S 03:07 0:00 nginx: worker process

一键降级：

sed -i 's/user root;/user www-data;/' /etc/nginx/nginx.conf && \
chown -R www-data:www-data /var/log/nginx && \
chown -R www-data:www-data /usr/local/nginx && \
chown -R www-data:www-data /var/lib/nginx && \
chown -R www-data:www-data /etc/ssl/private && \
chmod 750 /etc/ssl/private 2>/dev/null || true && \
nginx -t && \
systemctl restart nginx && \
echo "==== 🎉 Nginx 降权成功！进程状态如下 ====" && \
ps aux | grep nginx | grep -v grep