O usuário do www-data precisa de um shell real?

6

Curiosamente, no meu derivativo do Ubuntu com o nginx instalado com apt , o usuário www-data tem um shell:

$ cat /etc/passwd
www-data:x:33:33:www-data:/var/www:/bin/sh

Isso não deveria ser definido como algo como /bin/false ? Mesmo que o usuário não possa efetuar login, não é perigoso fornecer um shell para um usuário do sistema como esse por padrão?

    
por Naftuli Kay 04.12.2013 / 22:24

1 resposta

6

Bem, /bin/false (ou /bin/true se você for uma pessoa positiva) é um shell real - não é apenas um shell interativo :-) Há também /sbin/nologin em alguns sistemas que serve o mesmo propósito.

Se o seu usuário do Apache precisa de um shell interativo (algo como bash ), a resposta, como outros disseram, é "geralmente, não". Configurar o shell do usuário do Apache para algo não interativo geralmente é uma boa prática de segurança (na verdade, todos os usuários do serviço que não precisam efetuar login interativamente devem ter seu shell configurado como algo não interativo).

Visite um ambiente existente como o seu, experimente-o e veja se algo se rompe. Se nada quebrar use o shell não interativo a partir de agora.
Se o material quebrar, tente consertá-lo sem restaurar o shell interativo: -)

    
por 26.02.2015 / 20:16