Zasadniczo, kiedy należy utworzyć nowe konto użytkownika, aby uruchomić na serwerze oprogramowanie internetowe?
Załóżmy na przykład, że korzystam ze wspólnego serwera Debian (np. Za pośrednictwem Dreamhost) i chcę uruchomić niektóre strony internetowe przy użyciu WordPress, niektóre przy użyciu Redmine, niektóre przy użyciu Ruby on Rails, może niektóre przy użyciu Django i chciałbym obsługiwać Mercurial repozytoria też.
Na serwerach Dreamhost i wielu innych podobnie skonfigurowanych serwerach można to wszystko zrobić na jednym koncie użytkownika , ale widzę pewne wady tego podejścia:
- Dłuższy .bashrc
- Jeśli to jedno konto zostanie naruszone, podobnie jak wszystkie witryny działające pod nim.
Z drugiej strony, posiadanie dużej liczby kont użytkowników może być trochę trudnym do kontrolowania, szczególnie jeśli niektóre z nich mają identyczne wymagania pod względem zainstalowanego oprogramowania. Na przykład posiadanie jednego konta dla każdej strony internetowej z WordPressem może być przesadą.
Jaka jest najlepsza praktyka? Czy to po prostu kwestia zmniejszenia liczby hostowanych witryn (lub hostowanych repozytoriów itp.) Na konto użytkownika proporcjonalnie do poziomu paranoi?
Prześlij swoje opinie na ten temat, podając uzasadnienie.
Ponadto, jeśli masz jakiekolwiek powody, by sądzić, że podejście zastosowane na serwerze prywatnym lub VPS powinno różnić się od podejścia zastosowanego na serwerze współużytkowanym, proszę opisz, jakie są, i ponownie, powody ich zastosowania.
źródło
mod_suexec
polega na tym, że „Żądania inne niż CGI są nadal przetwarzane przez użytkownika określonego w dyrektywie użytkownika” - więc jeśli PHP jest modułem, nadal działa jako „główny” użytkownik apache. To świetne rozwiązanie, jeśli wszystko, co wykonujesz, to CGI.Zasadniczo to, co robię, to mieć jednego użytkownika dla zewnętrznych usług komunikacyjnych, który nie może się zalogować (na przykład „nikt”) i jedno konto, które może się zalogować i su lub sudo. Oczywiście upewnij się, że twoje nazwy użytkownika są różne i nie są łatwe do odgadnięcia.
Nie widzę potrzeby posiadania jednego użytkownika na usługę, chyba że prowadzisz wspólne środowisko hostingowe, w którym każdy klient ma login. Jeśli realistycznie postrzegasz siebie jako bardzo atrakcyjny cel hakowania, równie dobrze możesz izolować jak najwięcej. Jednakże, chyba że robisz coś bardzo kontrowersyjnego lub przechowujesz dane finansowe, nie jesteś tak atrakcyjny dla celu.
źródło