Linux
軟體編譯和安全
我已經編譯了不同的軟體(apache、postgresql、proftpd 和 jboss),然後安裝到一個目錄中(使用 –prefix 配置選項)。我有類似的東西:/opt/apache /opt/proftpd /opt/postgresql /opt/jboss. 我用同一個使用者執行所有這些服務。我這樣做是因為在權限管理方面對我來說更容易(所有服務都可以訪問相同的數據目錄)。這是我將我使用的所有服務“打包”在一個目錄中的一種方式。
要啟動服務:
- **apache:**以 root 啟動,我在配置文件中設置了以下指令:“User pol”“Group pol”
- **postgresql:**以使用者“pol”開始
- **proftpd:**從 root 開始,我在配置文件中設置了以下指令:“User pol”“Group pol”
- **jboss:**從使用者“pol”開始
pol 使用者有一個外殼。它對維護很有用。
- 你覺得這個配置怎麼樣?
- 我應該用不同的使用者執行所有這些服務嗎?
- 使用者/服務管理的安全最佳實踐是什麼?
謝謝 !!
以下是關於您的問題的一些要點:
通常使用帶有 nologin 的專用帳戶來執行服務。
也許您應該嘗試 chroot 或至少監禁 apache 守護程序以獲得額外的安全性。
如果您的數據庫伺服器僅在本地使用,您可以考慮通過文件系統連接套接字並拒絕對其進行網路訪問。