Um usuário separado para cada tarefa?

Question

Um usuário separado para cada tarefa?

#1 resposta do (6 votos)

4

Acabei de receber um VPS sver no outro dia, sou novo na administração do servidor, mas não tão novo no Ubuntu (11.04). Eu o uso na minha sala de estar como o HTPC, e eu tinha um VPS anterior que eu usava para um servidor de fala em equipe. Este eu estou configurando para uso a longo prazo. Então, eu gostaria de saber a melhor prática quando se trata de sites e tarefas que eu tenho o proforming do servidor. Eu entendo que poderia ser benéfico separar cada website em seu próprio grupo de usuários ou sob seu próprio nome de usuário. Eu configuraria o nginx para que ele pudesse ler todos os diretores de usuários (e, portanto, cada site), mas não poderia tocar em mais nada. O mesmo com o TeamSpeak, eu deveria fazer um usuário para TeamSpeak para que ele funcione dentro de sua própria área confinada ou isso é um exagero?

Eu tenho acesso ao root no servidor e meu plano atual é rodar cerca de 4 sites e um servidor TeamSpeak. Minha pilha é Linux (Ubuntu 11.04 LTS), nginx e PHP 5.4.3 (usando o driver interno PDO SQLite 3 para o banco de dados). O PHP deve ter seu próprio grupo de usuários ou é ok colocá-lo com o nginx?

security best-practices

por Mark Tomlin 03.06.2012 / 02:22

1 resposta

Tags security best-practices

DMZ Setup com dois firewalls - Tráfego de DMZ para LAN e LAN para DMZ nginx proxy reverso para mongodb rest interface

score 6 · Accepted Answer

As melhores práticas para serviços como o teamspeak são executá-las como um usuário separado, de preferência em uma cadeia - um guia para configurar as cadeias pode ser encontrado em link

Isso é feito para limitar o dano que uma exploração no software pode causar - esperamos que esteja limitada a bagunçar os arquivos do teamspeak, mas não o resto do servidor.

Php e o servidor da web podem compartilhar um usuário, pois precisam acessar os mesmos arquivos.

Nenhum serviço de rede deve ser executado como root, se puder ser evitado, porque uma exploração nesse serviço pode permitir que um invasor obtenha as mesmas permissões que o usuário que o está executando. Alguns softwares precisam de permissões de root para iniciar, mas podem ser configurados para descartar essas permissões após o início.