每个人都告诉我使用用户会让服务器更安全。但为什么呢?
如果我有一个 root 帐户和 1 个用户,那么我就有 2 种方式进入我的 vps。
如果有人知道我的 root 密码,他们仍然可以用它做任何事情。使用我的用户密码,他们也可以进行一些更改。
如果我只使用我的 root 帐户,那么我只有一个帐户可能被黑客入侵/泄露。当然,黑客将获得完全访问权限,但如果他们入侵了有用户的服务器的 root,他们也会获得该访问权限。
编辑:如果您创建用户,您在哪里创建它们?我是一名 Web 开发人员,我将我的网站托管在我的服务器上。我是否必须为每个网站和安装的每个程序创建一个新用户,还是应该只创建一个可以做所有事情的用户?
答案1
您的密码不会被“黑客入侵”或“泄露”。
如果您担心受到攻击,更合理的说法是攻击者可能会利用零日漏洞在您的服务器上执行某些代码,通常以运行易受攻击程序的用户的权限执行。如果易受攻击的程序由 运行root,那么攻击者就可以在您的系统上为所欲为。请记住,这无需获取您的密码。
另一方面,如果该进程由普通用户运行,那么攻击者将受到该用户操作的限制,特别是无法读取或修改该用户无法访问的任何文件。
对于简单的 Web 开发服务器,除了用于登录计算机的帐户外,您不需要创建任何其他帐户。Web 服务器进程通常由另一个自动创建的帐户运行(例如(www-data对于 Apache)