Для повышения безопасности я хочу создать 2 группы:

  1. database_group
    • можно запустить, перезагрузить, остановить сервер Postgresql
    • можно изменить файлы конфигурации Postgresql из /etc
    • не могу удалить, удалить postgresql и связанные пакеты

! Я говорю не о ролях PostgreSQL, а о ролях пользователей Linux.

  1. группа серверов

database_group - может запускать, перезапускать, останавливать сервер Postgresql - не может изменять файлы конфигурации NGINX по умолчанию, но может и т.д. / добавлять локальные файлы - не может удалить, удалить NGINX и связанные пакеты

Я знаю, как добавлять пользователей и группы, знаю на базовом-среднем уровне о разрешениях

Я не знаю, как выбрать между разрешением sudo для групп для определенных каталогов и простым добавлением разрешения для каждого файла для группы

Идея состоит в том, что разные пользователи имеют разные области доступа, и если пользователь скомпрометирован, затрагивается только определенный раздел.

Я ищу руководство / помощь / примеры от кого-то, кто работает с веб-серверами, как разделить зоны доступа.

То, что я просил выше, не исправлено, если представлены лучшие решения

0