我正在从CentOS转换,并习惯于使用nobody:nobody用户组来运行服务。Ubuntu是否有类似的最佳实践用户组合来运行服务?
3个回答
如果你真的想要一个没有权限的用户/组,你可以使用nobody:nogroup。但是Debian的衍生版本倾向于为每个任务定义一个用户和/或组,以确保你的非特权服务彼此分离。
- Greg
Ubuntu有一个"nobody"用户和一个"nogroup"组,我猜如果你想的话这两个可以等效使用。
将所有(或大部分)服务都运行在同一个用户下,会削弱使用非特权用户的目的;因此,我认为推荐的最佳实践是每个服务都有自己的用户(例如,apache以www-data身份运行,我认为exim4会有一个exim4用户,spamassassin会有一个spamd用户等)。安装服务时会自动创建这个用户。有时候管理权限以确保服务之间可以通信可能会稍微麻烦一些,但这些情况通常都有很好的文档说明,并且增加的安全性和隔离性值得这些(小的)麻烦。
将所有(或大部分)服务都运行在同一个用户下,会削弱使用非特权用户的目的;因此,我认为推荐的最佳实践是每个服务都有自己的用户(例如,apache以www-data身份运行,我认为exim4会有一个exim4用户,spamassassin会有一个spamd用户等)。安装服务时会自动创建这个用户。有时候管理权限以确保服务之间可以通信可能会稍微麻烦一些,但这些情况通常都有很好的文档说明,并且增加的安全性和隔离性值得这些(小的)麻烦。
- roadmr
应该是 nobody:nogroup,即使有些服务器仍然正确识别标准的 Unix "nobody:nobody"。
- jasmines