Каковы основные рекомендации по настройке учетной записи пользователя на компьютере Linux для веб-приложения?
В моем случае это приложение Rails, которое управляет файлами.
Первое, что приходит мне в голову, это ограничить права доступа только теми каталогами, которые ему нужны. Но как именно это сделать? Настроить права через группу пользователей или через владение пользователем этими каталогами. У меня очень мало опыта в управлении правами пользователей.
Что еще мне нужно учесть? Я слышал о ACL и SELinux, нужно ли мне изучить что-либо из этого, чтобы гарантировать достойную безопасность для моего простого веб-приложения?
Любые советы по этому поводу и все, что не было упомянуто, приветствуются. Спасибо, Макс.
Я буду использовать Ubuntu.
решение1
Вам не нужно сходить с ума, вы просто хотите запустить свое веб-приложение как уникальный пользователь, который не является частью какой-либо уже существующей группы. Затем, пока ваша система не предоставляет ненадлежащий доступ на запись (или чтение) различным учетным записям уровня пользователя, все в порядке. Вы можете попробовать chroot jailing, если хотите чего-то более хардкорного. Существуют различные документы, если вы загуглите "rails chroot" или "apache chroot jail" (не уверен, работаете ли вы с Apache или нет).
Однако, если вы занимаетесь управлением файлами, вам обязательно нужно очистить входные данные (см.http://guides.rubyonrails.org/security.htmlдля того, как). В противном случае люди могут неправильно формировать входные данные, чтобы попадать в файлы в неожиданных местах. (chroot помогает, чтобы не быть системным каталогом, но все равно позволяет пользователям вашего приложения подключаться к другим пользователям, если вы этого не сделаете).