Eu implanto aplicativos da Web por meio de "sandboxing" de cada aplicativo em seu próprio UNIX conta de usuário, por trás de um proxy reverso nginx comum que também serve arquivos estáticos. Cada conta executa o servidor de aplicativos, para o qual o nginx encaminhará solicitações via fcgi. A pasta pessoal de cada usuário hospeda o código do aplicativo e os arquivos estáticos, que obviamente precisam ser lidos pelo nginx.
Estou tentando proteger essa configuração o máximo possível e /bin/false apareceu
enquanto lê o tópico.
Se eu fosse definir o shell do usuário do aplicativo como /bin/false , o que eu ganharia em termos de segurança?
Esta questão pode ser relevante: link .
Em geral, uma coisa que você ganha usando / bin / false (ou, preferencialmente, / sbin / nologin) é para tentativas de login falharem, mesmo em uma situação em que, de outra forma, teria sido permitida. Isso é abordado em mais detalhes, por exemplo, link .Portanto, é uma parte da defesa contra o abuso de conta / força bruta.
Tags security unix web-server