Для повышения безопасности я хочу создать 2 группы:
- database_group
- можно запустить, перезагрузить, остановить сервер Postgresql
- можно изменить файлы конфигурации Postgresql из /etc
- не могу удалить, удалить postgresql и связанные пакеты
! Я говорю не о ролях PostgreSQL, а о ролях пользователей Linux.
- группа серверов
database_group - может запускать, перезапускать, останавливать сервер Postgresql - не может изменять файлы конфигурации NGINX по умолчанию, но может и т.д. / добавлять локальные файлы - не может удалить, удалить NGINX и связанные пакеты
Я знаю, как добавлять пользователей и группы, знаю на базовом-среднем уровне о разрешениях
Я не знаю, как выбрать между разрешением sudo для групп для определенных каталогов и простым добавлением разрешения для каждого файла для группы
Идея состоит в том, что разные пользователи имеют разные области доступа, и если пользователь скомпрометирован, затрагивается только определенный раздел.
Я ищу руководство / помощь / примеры от кого-то, кто работает с веб-серверами, как разделить зоны доступа.
То, что я просил выше, не исправлено, если представлены лучшие решения