Est-ce une sorte d’encapsulation lorsque, à l’aide de tutoriels, on me suggère de créer unix
utilisateur.
Par exemple. dans instructions d'installation de tomcat Ça disait:
1 - Créer un utilisateur à faible privilège
Exécuter Tomcat en tant que root introduit le risque inutile qu’une instance Tomcat compromise pourrait donner le contrôle de votre ensemble serveur. Ainsi, créer un utilisateur avec de faibles privilèges pour exécuter Tomcat devrait être une pratique standard lors de l’installation de nouvelles instances.
Question:
- Est-ce une raison unique? Qu'en est-il de l'installation sous mon
sudoer
utilisateur, pasroot
. - Qu'en est-il des différents gestionnaires d'installation comme Linuxbrew , comment résolvent-ils ce problème?
Réponses:
Chaque utilisateur, à l'exception de root, a accès aux fichiers et aux répertoires qu'il possède, mais dispose d'un accès limité à la plupart des autres ressources. Ceci est utilisé pour minimiser la capacité d'un utilisateur à compromettre les services exécutés par d'autres utilisateurs. En ayant un utilisateur distinct pour chaque application, vous limitez la possibilité de compromettre votre système, mais en exploitant une application. Sans cette séparation des droits de propriété, l'ensemble de votre système est aussi sécurisé que votre service le moins sécurisé. Si un service s'exécute en tant que root, votre système tout entier est ouvert aux compromis si ce service est compromis.
Il est recommandé de faire en sorte que le contenu et la configuration Web soient la propriété d'un utilisateur autre que celui utilisé pour exécuter le serveur Web. Cela limite la possibilité d'ajouter des logiciels malveillants à un site en compromettant le serveur Web. Si nécessaire, le serveur Web peut éventuellement écrire dans une arborescence de répertoires dédiée utilisée pour le téléchargement. Le serveur Web doit être configuré pour ne pas exécuter le contenu du répertoire de téléchargement.
Il est courant que le serveur SMTP et le serveur POP / IMAP associés s'exécutent en tant qu'utilisateurs différents. Cela empêche l'utilisation du serveur POP / IMAP pour modifier la configuration du serveur SMTP.
la source