Je convertis de centOS et j'ai l'habitude d'avoir un groupe nobody: nobody user: pour exécuter les services. Ubuntu a-t-il une combinaison utilisateur / groupe de bonnes pratiques similaire pour exécuter un service?
17
Vous pouvez utiliser nobody: nogroup si vous voulez vraiment un utilisateur / groupe sans autorisations. Mais les dérivés Debian ont tendance à définir un utilisateur et / ou un groupe par tâche pour garantir que vos services non privilégiés sont séparés les uns des autres .
Ubuntu a un nobodyutilisateur et un nogroupgroupe, je suppose que ceux-ci peuvent être utilisés de manière équivalente si vous le souhaitez.
Le fait que tous (ou la plupart) des services s'exécutent sous le même utilisateur est contraire à l'objectif d'utiliser un utilisateur non privilégié; Je pense donc que la meilleure pratique recommandée est que chaque service ait son propre utilisateur (par exemple, apache s'exécute en tant que www-data, je pense que exim4 aura un utilisateur exim4, spamassassin aura un utilisateur spamd (je pense!), etc.) . Lorsque vous installez un service, il se charge de créer cet utilisateur pour vous. Parfois, la gestion des autorisations pour garantir que les services peuvent communiquer entre eux peut être un peu lourde, mais ces instances sont généralement bien documentées et la sécurité et le compartimentage supplémentaires valent la (petite) complication.
Ce ne devrait être personne: nogroup, même si certains serveurs reconnaissent toujours correctement le standard unix "personne: personne".