我有一個 VPS,我正在嘗試收集 Web 服務使用者設定的最佳實踐。
我的伺服器中有不同的服務(雲端應用程式、串流應用程式等)。
我所知道的是,我為每項服務建立一個用戶,每個服務都有自己的主目錄,但無法使用它登入。
這允許我為每個使用者設定 cron 命令,而不是以 root 身分執行它們。它還允許我對每個服務進行備份並將其存儲在自己的主目錄中(我知道......我不應該將備份放在同一磁碟上,即使在同一伺服器上,但我沒有資源來購買另一台伺服器來放置我的備份)。
減去備份的事情,為每個服務創建一個新用戶是一個好主意嗎?或者我應該將所有內容都放在 www-data 下,僅此而已?
答案1
使用單獨帳戶的主要優點是能夠限制對其他服務資料的存取。這可能意味著對敏感資料進行讀取訪問或寫入訪問,以便在某個應用程式受到損害時限制後果。
如果您使用 user 的權限執行所有 PHP 腳本,單獨分離使用者帳號可能還不夠www-data
。您可以透過為每個使用者建立單獨的 PHP-FPM 池並單獨擁有該使用者的權限來避免這種情況。