Linux

軟體編譯和安全

  • August 12, 2009

我已經編譯了不同的軟體(apache、postgresql、proftpd 和 jboss),然後安裝到一個目錄中(使用 –prefix 配置選項)。我有類似的東西:/opt/apache /opt/proftpd /opt/postgresql /opt/jboss. 我用同一個使用者執行所有這些服務。我這樣做是因為在權限管理方面對我來說更容易(所有服務都可以訪問相同的數據目錄)。這是我將我使用的所有服務“打包”在一個目錄中的一種方式。

要啟動服務:

  • **apache:**以 root 啟動,我在配置文件中設置了以下指令:“User pol”“Group pol”
  • **postgresql:**以使用者“pol”開始
  • **proftpd:**從 root 開始,我在配置文件中設置了以下指令:“User pol”“Group pol”
  • **jboss:**從使用者“pol”開始

pol 使用者有一個外殼。它對維護很有用。

  • 你覺得這個配置怎麼樣?
  • 我應該用不同的使用者執行所有這些服務嗎?
  • 使用者/服務管理的安全最佳實踐是什麼?

謝謝 !!

以下是關於您的問題的一些要點:

通常使用帶有 nologin 的專用帳戶來執行服務。

也許您應該嘗試 chroot 或至少監禁 apache 守護程序以獲得額外的安全性。

如果您的數據庫伺服器僅在本地使用,您可以考慮通過文件系統連接套接字並拒絕對其進行網路訪問。

引用自:https://serverfault.com/questions/53202