Риск безопасности при смене пользователя на сервере nginx
Я планирую настроить сервер на запасном компьютере. Я планирую использовать Ubuntu server 14.04 с nginx и php. Я знаю, что в целом безопасно не запускать сервер от имени пользователя root, но нормально ли это, если я настрою его для работы от имени обычного пользователя, а не от имени пользователя www? Каковы потенциальные угрозы безопасности, связанные с изменением пользователя? Имейте в виду, что это простой сервер, доступ к которому возможен только в частной сети дома.
1 ответ
это нормально, если я настроил его для запуска в качестве обычного пользователя, а не для запуска в качестве www-данных?
Конечно.
Каковы потенциальные угрозы безопасности, связанные с изменением пользователя?
Нет никаких рисков для смены пользователя. Если что-то, изменяющееся на другого пользователя (это НЕ ваша учетная запись администратора, поскольку вы никогда не должны использовать ее, за исключением задач администратора на сервере), сделает ее более безопасной: любой знает, что могут быть пользовательские www-данные, когда активен веб-сайт. Теперь им нужно угадать и это имя пользователя. Установка хорошего пароля важнее.
Это не пользователь, а права, установленные для каталогов и файлов, которые могут сделать его рискованным. Если вы устанавливаете права доступа к файлам и всем открытым каталогам, это более рискованно, чем когда вы устанавливаете их как можно более строго. Чтобы кто-то мог выполнить произвольный код, этот человек должен иметь возможность выполнять код. Поэтому установите для файлов значение 644 или даже 640, если это возможно, и для каталогов значение 755 или 750, если это возможно, и предоставьте пользователям, которым необходимо разрешить редактировать файлы, все в одной группе.