我计划在一台闲置的计算机上设置一台服务器。我计划使用带有 nginx 和 php 的 Ubuntu Server 14.04。我知道通常不以 root 用户身份运行服务器是安全的,但如果我将其设置为以普通用户身份运行而不是以 www-data 身份运行,可以吗?更改用户会带来哪些潜在的安全风险?请记住,这是一个简单的服务器,只能在家中的专用网络内访问。
答案1
如果我将其设置为以普通用户身份运行而不是以 www-data 身份运行,可以吗?
当然。
更改用户会带来哪些潜在的安全风险?
更改用户没有任何风险。如果将任何内容更改为另一个用户(这不是您的管理员帐户,因为您永远不应该使用它,除非在服务器上执行管理任务)将使其更安全:任何人都知道当网站处于活动状态时可能会有用户 www-data。现在他们也需要猜测该用户名。设置一个好的密码更重要。
造成风险的不是用户,而是目录和文件的权限。如果将文件和目录的权限设置为对所有人开放,则比将权限设置为尽可能严格时的风险更大。对于执行任意代码的人来说,该人需要能够执行代码。因此,如果可能,请将文件设置为 644 甚至 640,将目录设置为 755 或 750,并将需要允许编辑文件的用户全部放在同一组中。