Это какая-то инкапсуляция, когда в некоторых уроках мне предлагается создать отдельного пользователя unix .

Например, в инструкции по установке tomcat сказано:

1 - Создать пользователя с низким уровнем привилегий

Запуск Tomcat от имени пользователя root создает ненужный риск того, что скомпрометированный экземпляр Tomcat может обеспечить контроль над всем вашим сервером. Таким образом, создание пользователя с низкими привилегиями для запуска Tomcat должно быть стандартной практикой при установке новых экземпляров.

Вопрос:

  1. Это единственная причина? Как насчет установки под моим пользователем sudoer , а не root .
  2. А как насчет разных менеджеров установки, таких как Linuxbrew , как они решают эту проблему?

1 ответ1

1

Каждый пользователь, кроме root, имеет доступ к файлам и каталогам, которыми он владеет, но ограничивает доступ к большинству других ресурсов. Это используется, чтобы минимизировать возможность какого-либо одного пользователя скомпрометировать службы, запущенные другими пользователями. Имея отдельного пользователя для каждого приложения, вы ограничиваете возможность поставить под угрозу вашу систему, но эксплуатировать приложение. Без такого разделения прав собственности вся ваша система защищена настолько же, насколько и наименее защищенный сервис. Если служба работает как root, вся ваша система открыта для компрометации, если эта служба скомпрометирована.

Рекомендуется, чтобы веб-контент и конфигурация принадлежали другому пользователю, нежели тот, который использовался для запуска веб-сервера. Это ограничивает возможность добавления вредоносных программ на сайт путем компрометации веб-сервера. При необходимости веб-сервер может выполнять запись в специальное дерево каталогов, используемое для загрузки. Веб-сервер должен быть настроен так, чтобы не выполнять контент из каталога загрузки.

Связанные SMTP-сервер и POP/IMAP-сервер обычно работают как разные пользователи. Это предотвращает использование компрометации сервера POP/IMAP для изменения конфигурации SMTP-сервера.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .