Przechodzę z centOS i jestem przyzwyczajony do tego, że nie ma nikogo: użytkownika: grupy do obsługi usług. Czy Ubuntu ma podobną najlepszą kombinację użytkowników: grup do uruchamiania usługi?
Możesz użyć nobody: nogroup, jeśli naprawdę chcesz użytkownika / grupy bez uprawnień. Ale pochodne Debiana zwykle definiują użytkownika i / lub grupę dla każdego zadania, aby zapewnić, że Twoje nieuprzywilejowane usługi są od siebie oddzielone .
Ubuntu ma nobody
użytkownika i nogroup
grupę. Sądzę, że można ich używać równorzędnie, jeśli chcesz.
Posiadanie wszystkich (lub większości) usług działających pod tym samym użytkownikiem jest sprzeczne z celem korzystania z nieuprzywilejowanego użytkownika; dlatego myślę, że zalecaną najlepszą praktyką jest, aby każda usługa miała własnego użytkownika (np. apache działa jako dane www, myślę, że exim4 będzie miał użytkownika exim4, spamassassin będzie miał użytkownika spamowanego (tak myślę!) itd.) . Po zainstalowaniu usługi dbasz o utworzenie tego użytkownika. Czasami zarządzanie uprawnieniami, aby usługi mogły ze sobą rozmawiać, może być nieco kłopotliwe, ale te przypadki są zwykle dobrze udokumentowane, a dodatkowe bezpieczeństwo i podział na przedziały są warte (drobnych) kłopotów.
Powinien to być nobody: nogroup, nawet jeśli niektóre serwery nadal poprawnie rozpoznają standardową wersję uniksową „nobody: nobody”.