我打算在一台備用電腦上設定伺服器。我計劃使用帶有 nginx 和 php 的 Ubuntu 伺服器 14.04。我知道不以 root 使用者身分執行伺服器通常是安全的,但是如果我將其設定為以普通使用者身分執行而不是以 www-data 身分運行,可以嗎?更改使用者會帶來哪些潛在的安全風險?請記住,這是一個簡單的伺服器,只能在家庭的專用網路中存取。
答案1
如果我將其設定為以普通用戶身份運行而不是作為 www-data 運行,可以嗎?
當然。
更改使用者會帶來哪些潛在的安全風險?
更改用戶沒有風險。如果對另一個使用者(不是您的管理員帳戶,因為除了伺服器上的管理任務之外,您永遠不應該使用它)進行任何更改,都會使其更安全:任何人都知道當網站處於活動狀態時可以有使用者www-data。現在他們還需要猜測該用戶名。設定一個好的密碼更為重要。
造成風險的不是用戶,而是目錄和檔案的權限設定。如果您將檔案和目錄的權限設定為對所有人開放,則比將它們設定得盡可能嚴格時風險更大。為了讓某人執行任意程式碼,該人需要能夠執行程式碼。因此,如果可能的話,將檔案設為 644 甚至 640,如果可能的話,將目錄設為 755 或 750,並且需要允許編輯檔案的使用者全部位於同一群組中。