固定 ruby on rails 安裝

我成功使用了本教程：http ://techbot.me/2010/08/deployment-recipes-deploying-monitoring-and-securing-your-rails-application-to-a-clean-ubuntu-10-04-install- using-nginx-and-unicorn/用於我們的 ruby​​ on rails 伺服器。

但我想知道這個安裝是否安全。讓我困擾的是同一個使用者“部署者”，他是一個 sudoer，正在執行該應用程序。

這是否會導致攻擊者通過某種形式的程式碼注入獲得對系統的完全訪問權限（與 apache 程序執行為 www-data 的常見 apache 安裝相反）？

一般來說，讓deployer使用者加入sudoers並不一定意味著攻擊者會自動成為 root。攻擊者仍需要執行sudo以從deployer帳戶升級。

deployer需要密碼才能執行，您會更安全sudo。如果您將deployer可以執行的命令限制為sudo實際需要的命令而不是“一切”，您將更加安全，例如，如果deployer只有sudoprivs 以便它可以重新載入 nginx，那麼您可以將其從“staff”組中刪除，然後添加一行/etc/sudoers喜歡：

deployer ALL=(ALL) /etc/init.d/nginx reload

sudo有關詳細資訊，請參閱文件。

作為旁注，您正在查看的文件看起來更像是基本部署指南，而不是“保護您的站點”指南。例如，看一下這個RubyConf演講，了解更多關於安全的內容。

引用自：https://serverfault.com/questions/407076