Best-Practices

創建系統帳戶的最佳做法是什麼?(*NIX)

  • June 23, 2013

我已經手動將名為 Gate One 的服務安裝到/opt. 我想加強它的安全性,所以我想我會創建一個系統帳戶供它使用,因為最少必要的權限等等。

但是,當我執行時adduser --system gateone,它創建了一個我並不真正想要的主目錄。因此,我跑了adduser --system --home-dir /opt/gateone gateone,因為我看到一些系統帳戶設置了與它們相關的主目錄。但是,這使得登錄 shell/bin/sh而不是/bin/false它第一次完成的(當我沒有指定主目錄時)。我現在對應該將這些欄位設置為什麼感到有些困惑。

**tl;dr:**在 *NIX 作業系統上創建系統帳戶時,設置主目錄、登錄 shell 和其他相關內容的最佳實踐是什麼?為什麼?

注意:如果重要的話,我使用的是 Ubuntu 13.04 Raring,因為 IIRCadduser可能會因分發而異。

沒有真正的最佳實踐,除了 shell 應該是 /bin/false 除非需要 shell,密碼雜湊應該是!,除非使用者希望登錄,應該給出描述性名稱,以及 home/dev/null如果應用程序不需要有效的主目錄,則應該將目錄設置為或類似。使用者應該有自己的組,最好在系統ID範圍內;例如,如果它不需要 root 的主 GID,就不要給它,當然也不要給它沒有特定要求的使用者。這一切都取決於。指定您關心的所有內容(請參閱man adduser所有可用選項)。

引用自:https://serverfault.com/questions/517732