Я планирую настроить сервер на запасном компьютере. Я планирую использовать сервер Ubuntu 14.04 с nginx и php. Я знаю, что обычно безопасно не запускать сервер как пользователь root, но нормально ли будет, если я настрою его для запуска как обычного пользователя, а не как www-data? Каковы потенциальные риски безопасности, связанные со сменой пользователя? Имейте в виду, что это простой сервер, доступ к которому можно получить только в пределах частной сети дома.
решение1
нормально ли, если я настрою его для запуска от имени обычного пользователя, а не от имени www-data?
Конечно.
Какие потенциальные риски безопасности возникают при смене пользователя?
Нет никаких рисков при смене пользователя. Если что-то и изменится на другого пользователя (это НЕ ваша учетная запись администратора, поскольку вы никогда не должны использовать ее, за исключением задач администрирования на сервере), то это сделает его более безопасным: любой знает, что может быть пользователь www-data, когда веб-сайт активен. Теперь им нужно угадать и это имя пользователя. Установка хорошего пароля важнее.
Не пользователь, а разрешения, установленные для каталогов и файлов, могут сделать его рискованным. Если вы устанавливаете разрешения для файлов и каталогов открытыми для всех, это более рискованно, чем когда вы устанавливаете их максимально строгими. Чтобы кто-то мог выполнить произвольный код, этот человек должен иметь возможность выполнить код. Поэтому установите для файлов права 644 или даже 640, если это возможно, а для каталогов — 755 или 750, если это возможно, и поместите пользователей, которым нужно разрешить редактировать файлы, в одну группу.