npm 如何/为什么建议不要以 root 身份运行？

简而言之...

首先，为什么npm http://npmjs.org/建议它只能以非 root 身份运行？我非常不相信其他所有包管理器（apt, yum, gem, pacman) 要求 sudo 是错误的。

其次，当我遵循他们的建议（并运行npm install作为非 root），它不会工作（因为非 root 没有 /usr/local/lib 的权限）。我该如何遵循他们的建议？我不会chown -R $USER /usr/local/lib，因为这对我来说似乎是一个非常糟糕的主意。

详细描述...

我安装了npm http://npmjs.org/ via curl http://npmjs.org/install.sh | sudo sh（自述文件中的说明）。

当我跑步时sudo npm install mongoose，npm 告诉我不要以 root 身份运行它：

npm ERR! sudon't!
npm ERR! sudon't! Running npm as root is not recommended!
npm ERR! sudon't! Seriously, don't do this!
npm ERR! sudon't!

但当我跑步时npm install mongoose没有 sudo 我得到以下信息：

npm info it worked if it ends with ok
npm info using [email protected] /cdn-cgi/l/email-protection
npm info using [email protected] /cdn-cgi/l/email-protection
npm info fetch http://registry.npmjs.org/mongoose/-/mongoose-1.0.7.tgz
npm info calculating sha1 /tmp/npm-1297199132405/1297199132406-0.7044695958029479/tmp.tgz
npm info shasum b3573930a22066fbf3ab745a79329d5eae75b8ae
npm ERR! Could not create /usr/local/lib/node/.npm/.cache/mongoose/1.0.7/package.tgz
npm ERR! Failed creating the tarball.
npm ERR! This is very rare. Perhaps the 'gzip' or 'tar' configs
npm ERR! are set improperly?
npm ERR!
npm ERR! couldn't pack /tmp/npm-1297199132405/1297199132406-0.7044695958029479/contents/package to /usr/local/lib/node/.npm/.cache/mongoose/1.0.7/package.tgz
npm ERR! Error installing [email protected] /cdn-cgi/l/email-protection
npm ERR! Error: EACCES, Permission denied '/usr/local/lib/node/.npm/.cache/mongoose'
npm ERR! There appear to be some permission problems
npm ERR! See the section on 'Permission Errors' at
npm ERR!   http://github.com/isaacs/npm#readme
npm ERR! This will get better in the future, I promise.
npm not ok

所以它告诉我我不应该使用 sudo，然后如果我遵循他们的建议就不起作用。

这引出了我上面最初的问题。

事实上，npm 确实not建议不要以 root 身份运行。好吧，不再是了。

它大约在您提出问题的同时发生了变化。 2011 年 2 月 7 日的自述文件如下所示：“非常不推荐将 sudo 与 npm 一起使用。任何人都可以发布任何内容，并且包安装可以运行任意脚本。”稍后更详细地解释为“选项 4：天哪，不推荐！！你可以一直使用 sudo 来完成所有事情，而忽略那些令人讨厌的警告，告诉你这样做是疯了。”

See: https://github.com/isaacs/npm/tree/7288a137f3ea7fafc9d4e7d0001a8cd044d3a22e#readme https://github.com/isaacs/npm/tree/7288a137f3ea7fafc9d4e7d0001a8cd044d3a22e#readme

现在它实际上被认为是受到推崇的安装npm的技巧：

简单安装 - 要使用一个命令安装 npm，请执行以下操作：

卷曲http://npmjs.org/install.sh |须藤 sh

See: https://github.com/isaacs/npm/tree/99f804f43327c49ce045ae2c105995636c847145#readme https://github.com/isaacs/npm/tree/99f804f43327c49ce045ae2c105995636c847145#readme

我的建议是从不这样做因为它的意思基本上是这样的：

1. 找出本地 DNS（或任何其他欺骗 DNS 响应或毒害 DNS 缓存的人）所说的 npmjs.org 的 IP 地址
2. 在端口 80 上通过不安全的 TCP 连接该 IP（或与自称是他的 IP 的人）
3. 信任您认为应该与之通信的路由器（或者任何给您 DHCP 响应的人说您应该与之通信）将数据包传送到正确的主机
4. 可能会经过另一层透明缓存代理
5. 信任您和 TCP 连接另一端之间的所有其他网络
6. 不确定你和谁有联系
7. 交叉手指
8. 通过不安全的 HTTP 请求 install.sh 脚本，无需任何验证
9. 然后在你的机器上以最大权限运行与你交谈的人返回的任何内容，甚至不检查它是什么。

正如你所看到的，这确实是字面上的意思，毫不夸张根外壳 to 无论你得到什么通过不安全的连接从互联网请求脚本后没有任何验证。这里至少有 5 个不同的地方可能会出现问题，其中任何一个都可能导致攻击者完全控制您的机器：

1. DHCP欺骗
2. ARP欺骗
3. DNS缓存中毒
4. DNS 响应欺骗
5. TCP会话劫持

另请注意，使用“sh”而不是“sudo sh”的风险通常不会降低，除非您以无权访问您的私人数据的其他用户身份运行它，但通常情况并非如此。

如果可以的话，您应该使用 HTTPS 连接来下载此类脚本，这样您至少可以验证您正在与谁交谈，即使这样，如果没有先阅读，我也不会运行它。不幸的是 npmjs.org 有一个自签名证书，所以在这种情况下它并没有真正的帮助。

幸运的是，npm 在 GitHub 上可用，它具有有效的 SSL 证书，您可以从那里使用安全连接下载它。有关详细信息，请参阅：github.com/isaacs/npm。但请确保 npm 本身不使用不安全的连接来下载它所下载的文件 - npm 配置中应该有一个选项。

希望能帮助到你。祝你好运！