¿Cuáles son las pautas principales para configurar una cuenta de usuario en una máquina Linux para una aplicación web?
En mi caso es una aplicación Rails que hace gestión de archivos.
Lo primero que se me ocurre es limitar los derechos de acceso sólo a los directorios que necesita. Pero, ¿cómo debo hacer exactamente esto? Derechos de configuración a través de un grupo de usuarios o mediante la propiedad del usuario de esos directorios. Tengo muy poca experiencia en la gestión de derechos de usuario.
¿Qué más debo considerar? He oído hablar de ACL y SELinux. ¿Necesito investigar alguno de estos para garantizar una seguridad decente para mi aplicación web sencilla?
Cualquier consejo sobre esto y todo lo que no se mencione será bienvenido. Gracias, Max.
Usaré Ubuntu.
Respuesta1
Realmente no necesita volverse loco, solo desea ejecutar su aplicación web como un usuario único que no forma parte de ningún grupo preexistente. Entonces, siempre y cuando su sistema no otorgue acceso de escritura (o acceso de lectura) inapropiado a diversas cuentas de nivel de usuario, está bien. Podrías intentar el encarcelamiento chroot si lo quieres más duro. Hay varios documentos disponibles si busca en Google "rails chroot" o "apache chroot jail" (no estoy seguro si está frente a Apache o no).
Sin embargo, lo que absolutamente debes hacer, si estás administrando archivos, es desinfectar tus entradas (verhttp://guides.rubyonrails.org/security.htmlpor cuanto). De lo contrario, las personas pueden modificar las entradas para acceder a archivos en ubicaciones inesperadas. (chroot ayuda a que no sea un directorio del sistema, pero aún permite que los usuarios de su aplicación se conecten con otros usuarios a menos que usted haga esto).