Me estoy convirtiendo de centOS y estoy acostumbrado a tener un usuario nobody: nobody: grupo para ejecutar servicios. ¿Ubuntu tiene un usuario similar de mejores prácticas: combinación de grupo para ejecutar un servicio?
17
Puede usar nobody: nogroup si realmente desea un usuario / grupo sin permisos. Pero los derivados de Debian tienden a definir un usuario y / o grupo por tarea para garantizar que sus servicios no privilegiados estén separados entre sí .
Ubuntu tiene un nobodyusuario y un nogroupgrupo, supongo que se pueden usar de manera equivalente si lo desea.
Tener todos (o la mayoría) de los servicios que se ejecutan bajo el mismo usuario anula parte del propósito de usar un usuario no privilegiado; por lo tanto, creo que la mejor práctica recomendada es que cada servicio tenga su propio usuario (por ejemplo, apache se ejecuta como www-data, creo que exim4 tendrá un usuario exim4, spamassassin tendrá un usuario spam (¡creo!), etc.) . Cuando instala un servicio, se encarga de crear este usuario para usted. A veces, administrar los permisos para garantizar que los servicios puedan comunicarse entre ellos puede ser un poco engorroso, pero estas instancias generalmente están bien documentadas y la seguridad y la compartimentación adicionales valen la molestia (menor).
No debería ser nadie: nogroup, incluso si algunos servidores aún reconocen correctamente el unix estándar "nadie: nadie".