我已经编译了不同的软件(apache、postgresql、proftpd 和 jboss),然后安装到一个目录中(使用 --prefix 配置选项)。我有类似的东西:/opt/apache /opt/proftpd /opt/postgresql /opt/jboss. 我用同一个用户运行所有这些服务。我这样做是因为在权限管理方面对我来说更容易(所有服务都可以访问相同的数据目录)。这是我将我使用的所有服务“打包”在一个目录中的一种方式。
要启动服务:
- apache:以 root 启动,我在配置文件中设置了以下指令:“User pol”“Group pol”
- postgresql:以用户“pol”开始
- proftpd:从 root 开始,我在配置文件中设置了以下指令:“User pol”“Group pol”
- jboss:从用户“pol”开始
pol 用户有一个外壳。它对维护很有用。
- 你觉得这个配置怎么样?
- 我应该用不同的用户运行所有这些服务吗?
- 用户/服务管理的安全最佳实践是什么?
谢谢你 !!
以下是关于您的问题的一些要点:
通常使用带有 nologin 的专用帐户来运行服务。
也许您应该尝试 chroot 或至少监禁 apache 守护程序以获得额外的安全性。
如果您的数据库服务器仅在本地使用,您可以考虑通过文件系统连接套接字并拒绝对其进行网络访问。