У меня есть VPS, и я пытаюсь собрать лучшие практики с точки зрения настройки пользователем веб-сервисов.
На моем сервере установлены различные сервисы (облачное приложение, приложение для потоковой передачи и т. д.).
Что я знаю, так это то, что я создаю пользователя для каждой службы, у каждой из которых есть свой домашний каталог, но войти в систему с его помощью невозможно.
Это позволяет мне настроить команду cron для каждого пользователя, вместо того, чтобы запускать их как root. Это также позволяет мне делать резервную копию для каждой службы и хранить ее в ее собственном домашнем каталоге (я знаю... я не должен хранить свои резервные копии на одном диске, даже на одном сервере, но у меня нет ресурсов, чтобы купить еще один сервер для хранения своих резервных копий).
За исключением резервного копирования, хорошая ли идея создавать нового пользователя для каждой службы? Или мне следует поместить все в www-data и все?
решение1
Главное преимущество использования отдельных учетных записей — возможность ограничить доступ к данным других служб. Это может означать доступ на чтение конфиденциальных данных или доступ на запись, чтобы ограничить последствия, если одно приложение будет скомпрометировано.
Разделение учетных записей пользователей может быть недостаточным, если вы запускаете все PHP-скрипты с привилегиями пользователя www-data. Вы можете избежать этого, создав отдельный пул PHP-FPM для каждого пользователя, имея привилегии только этого пользователя.