저는 VPS를 가지고 있으며 웹 서비스에 대한 사용자 설정 측면에서 모범 사례를 수집하려고 합니다.
내 서버에는 다양한 서비스(클라우드 앱, 스트리밍 앱 등)가 있습니다.
내가 아는 것은 각 서비스에 대해 사용자를 생성한다는 것입니다. 각 서비스마다 자신의 홈 디렉터리가 있지만 해당 홈 디렉터리로 로그인할 수는 없습니다.
이를 통해 루트로 실행하는 대신 사용자별로 cron 명령을 설정할 수 있습니다. 또한 서비스별로 백업을 수행하고 이를 자체 홈 디렉터리에 저장할 수 있습니다. (알고 있습니다... 동일한 디스크, 심지어 동일한 서버에 백업을 두면 안 되지만 그렇게 할 리소스가 없습니다. 백업을 보관할 다른 서버를 구입하세요.)
백업을 빼면 각 서비스에 대해 새 사용자를 만드는 것이 좋은 생각입니까? 아니면 모든 것을 www-data 아래에 넣어야 할까요? 그게 전부인가요?
답변1
별도의 계정을 사용할 때의 가장 큰 장점은 다른 서비스의 데이터에 대한 액세스를 제한할 수 있다는 것입니다. 이는 하나의 앱이 손상된 경우 결과를 제한하기 위해 민감한 데이터에 대한 읽기 액세스 또는 쓰기 액세스를 의미할 수 있습니다.
user 권한으로 모든 PHP 스크립트를 실행하는 경우 사용자 계정을 분리하는 것만으로는 충분하지 않을 수 있습니다 www-data. 각 사용자에 대해 별도의 PHP-FPM 풀을 생성하고 해당 사용자만의 권한을 가지면 이를 방지할 수 있습니다.