Donovan_DMC's questions

我和几个朋友一起运行服务器已经有一段时间了，我们都共享服务器，尽管我是实际支付服务器费用的人。
我以 root 用户身份运行我所有的东西。
（我知道，这是个坏主意，可能会造成无法恢复的损坏，但这是我在设置服务器时最容易做的事情，如果我想进入别人的文件，我不必担心权限，并且他们无法通过大多数方法进入我的文件）

我不希望任何普通用户能够进入 root 用户或 /root 目录，而无需使用 root 帐户的密码实际登录到 root。我已经被su - root禁用了，但仍然有sudo -i,sudo -s和能力sudo cp -R /root ~/rootStuff，我不希望他们能够进入实际的 root 帐户或目录，真正需要做的就是在他们自己的主目录，以及每个人都可以定期访问的东西/opt，, /etc, 等等。

不想完全把 sudo 从他们身上拿走，因为这意味着他们必须在服务器周围做的任何事情，比如正确安装软件包，都会涉及到我，但如果这是最好的方法，我可以做到。
这并不是说我不信任我服务器上的人，我相信，他们是好朋友，我只是在 /root 中存储了一些非常敏感的东西。

他们真正需要能够 sudo 的唯一命令是 sudo apt，也许还有其他一些随机命令，但是当我到达那里时，我可以处理。

服务器的版本是 18.04.3 LTS，如果这有很大的不同的话。另外，服务器是托管公司的专用服务器，我只有 ssh，没有物理访问，也没有可视化。

我一直在通过 nginx 代理为自己运行一个 api，直到今天我重新颁发了它的证书时，我还没有遇到任何问题。证书来自 Let's Encrypt，我制作了我给 nginx捆绑的客户端、中间证书和根证书的文件。

我可以在浏览器中没有警告的情况下很好地访问 api，但是在节点中，我得到了UNABLE_TO_VERIFY_LEAF_SIGNATURE，在 python 中，Cannot connect to host api.furry.bot:443 ssl:None [[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:852)]

用于 ssl 的 Nginx 配置：

##
# SSL Settings
##

ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Dropping SSLv3, ref: POODLE
ssl_prefer_server_ciphers on;
ssl_certificate     /etc/ssl/main.chained.crt;
ssl_certificate_key /etc/ssl/main.key;
ssl_ciphers         HIGH:!aNULL:!MD5;

密钥与链中第一个证书匹配，文件为结构化
服务器证书
中间证书
根证书

我无法让它正常工作，我不想只是在我的节点应用程序中禁用 ssl 验证，也无法正确编辑 python 实现，我感觉它没有获得中间证书和根证书正确，但我不知道。

nginx 代理的服务器是 node express 服务器和一个烧瓶服务器（与此无关）。

相关站点的配置是（所有其他配置基本相同，当然减去 default_server）：

server {
    listen 443 default_server ssl;
    listen [::]:443 default_server ipv6only=on ssl;
    server_name furry.bot *.furry.bot;

    location / {
        proxy_pass http://127.0.0.1:3000;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection 'upgrade';
        proxy_set_header Host $host;
        proxy_cache_bypass $http_upgrade;
     }
}

ssl 完全在 nginx 端，幕后的一切都是 http。

此错误仅出现在它们通常运行的 Ubuntu 服务器上，它运行良好，在我的本地 Windows 笔记本电脑上没有错误。

（不要这样做。）
我暂时把

process.env["NODE_TLS_REJECT_UNAUTHORIZED"] = 0;

虽然我知道这是一个坏主意，但我目前没有任何其他选择。