Ho un servizio in esecuzione su una macchina Linux, avviato con upstart, che viene eseguito come utente "the_user", deve leggere un file di configurazione. Avere il file di proprietà di root renderebbe le cose più sicure, ma impedirebbe al servizio di leggere il file.
So che nginx può leggere un file cert privato di proprietà di root mentre è in esecuzione come utente non root.
Ho letto sull'approccio o sull'approvvigionamento di uno script che imposta le variabili di ambiente sensibili lette da un file di proprietà radice e quindi avvia il processo di servizio come utente del servizio, che quindi "eredita" dalle variabili di ambiente.
Qual è l'approccio migliore?