Tengo un VPS y estoy intentando recopilar las mejores prácticas en términos de configuración de usuarios para servicios web.
Tengo diferentes servicios en mi servidor (una aplicación en la nube, una aplicación de streaming, etc.).
Lo que sí sé es que creo un usuario para cada servicio, cada uno con su propio directorio de inicio, pero no es posible iniciar sesión con él.
Eso me permite configurar el comando cron por usuario, en lugar de ejecutarlo como root. También me permite hacer copias de seguridad por servicio y almacenarlas en su propio directorio personal (lo sé... no debería tener mis copias de seguridad en el mismo disco, ni siquiera en el mismo servidor, pero no tengo los recursos para comprar otro servidor para realizar mis copias de seguridad).
Menos lo de la copia de seguridad, ¿es una buena idea crear un nuevo usuario para cada servicio? ¿O debería poner todo en www-data y listo?
Respuesta1
La principal ventaja de utilizar cuentas separadas es la posibilidad de limitar el acceso a los datos de otros servicios. Eso puede significar acceso de lectura a datos confidenciales o acceso de escritura para limitar las consecuencias si una aplicación se ve comprometida.
Es posible que separar las cuentas de usuario por sí solo no sea suficiente si está ejecutando todos los scripts PHP con privilegios de usuario www-data. Puede evitar esto creando un grupo PHP-FPM separado para cada usuario, teniendo solo los privilegios de ese usuario.