Ich konvertiere von centOS und bin es gewohnt, eine nobody: nobody-Benutzergruppe zum Ausführen von Diensten zu haben. Hat Ubuntu eine ähnliche Best-Practice-Benutzer-Gruppen-Kombination für die Ausführung eines Dienstes?
17
Sie können nobody: nogroup verwenden, wenn Sie wirklich einen Benutzer / eine Gruppe ohne Berechtigungen möchten. Debian-Derivate neigen jedoch dazu, einen Benutzer und / oder eine Gruppe pro Task zu definieren, um sicherzustellen, dass Ihre nichtprivilegierten Dienste voneinander getrennt sind .
Ubuntu hat einen nobodyBenutzer und eine nogroupGruppe, ich denke, diese können gleichwertig verwendet werden, wenn Sie möchten.
Wenn alle (oder die meisten) Dienste unter demselben Benutzer ausgeführt werden, wird ein Teil des Zwecks der Verwendung eines nicht privilegierten Benutzers außer Kraft gesetzt. Daher denke ich, dass die empfohlene Best Practice darin besteht, dass jeder Dienst einen eigenen Benutzer hat (z. B. Apache wird als WWW-Daten ausgeführt, Exim4 wird einen Exim4-Benutzer haben, Spamassassin wird einen Spam-Benutzer haben (glaube ich!) usw.). . Wenn Sie einen Dienst installieren, kümmert er sich darum, diesen Benutzer für Sie zu erstellen. Manchmal ist das Verwalten von Berechtigungen, um sicherzustellen, dass Dienste miteinander kommunizieren können, etwas umständlich. Diese Instanzen sind jedoch in der Regel gut dokumentiert, und die zusätzliche Sicherheit und Unterteilung ist den (geringfügigen) Aufwand wert.
Es sollte nobody: nogroup sein, auch wenn einige Server das Standard-Unix "nobody: nobody" noch korrekt erkennen.