Tenho um VPS e estou tentando reunir as melhores práticas em termos de configuração de usuários para serviços web.
Tenho diferentes serviços em meu servidor (um aplicativo em nuvem, um aplicativo de streaming, etc.).
O que sei é que crio um usuário para cada serviço, cada um com seu diretório inicial, mas não é possível fazer login com ele.
Isso me permite configurar o comando cron por usuário, em vez de executá-los como root. Também me permite fazer backup por serviço e armazená-lo em seu próprio diretório inicial (eu sei... não deveria ter meus backups no mesmo disco, nem mesmo no mesmo servidor, mas não tenho recursos para comprar outro servidor para colocar meus backups).
Sem o backup, é uma boa ideia criar um novo usuário para cada serviço? Ou devo colocar tudo em www-data e pronto?
Responder1
A principal vantagem de usar contas separadas é a capacidade de limitar o acesso aos dados de outros serviços. Isso pode significar acesso de leitura a dados confidenciais ou acesso de gravação para limitar as consequências, caso um aplicativo seja comprometido.
Separar as contas de usuário por si só pode não ser suficiente, se você estiver executando todos os scripts PHP com os privilégios de user www-data. Você pode evitar isso criando um pool PHP-FPM separado para cada usuário, tendo apenas os privilégios desse usuário.