Best-Practices
創建系統帳戶的最佳做法是什麼?(*NIX)
我已經手動將名為 Gate One 的服務安裝到
/opt
. 我想加強它的安全性,所以我想我會創建一個系統帳戶供它使用,因為最少必要的權限等等。但是,當我執行時
adduser --system gateone
,它創建了一個我並不真正想要的主目錄。因此,我跑了adduser --system --home-dir /opt/gateone gateone
,因為我看到一些系統帳戶設置了與它們相關的主目錄。但是,這使得登錄 shell/bin/sh
而不是/bin/false
它第一次完成的(當我沒有指定主目錄時)。我現在對應該將這些欄位設置為什麼感到有些困惑。**tl;dr:**在 *NIX 作業系統上創建系統帳戶時,設置主目錄、登錄 shell 和其他相關內容的最佳實踐是什麼?為什麼?
注意:如果重要的話,我使用的是 Ubuntu 13.04 Raring,因為 IIRC
adduser
可能會因分發而異。
沒有真正的最佳實踐,除了 shell 應該是 /bin/false 除非需要 shell,密碼雜湊應該是
!
,除非使用者希望登錄,應該給出描述性名稱,以及 home/dev/null
如果應用程序不需要有效的主目錄,則應該將目錄設置為或類似。使用者應該有自己的組,最好在系統ID範圍內;例如,如果它不需要 root 的主 GID,就不要給它,當然也不要給它沒有特定要求的使用者。這一切都取決於。指定您關心的所有內容(請參閱man adduser
所有可用選項)。