为每个客户端提供一个主目录是否安全?

为每个客户端提供一个主目录是否安全?

我正在创建一个小型游戏服务器托管公司(只是为了帮助我学习 Python、Django 和服务器管理),并认为当用户注册时,它将为他们创建一个主目录,这样,如果每个人都有自己的主目录来放置服务器文件(他们会得到一个与网站上的用户名相同的实际 Debian 帐户),那么管理起来会更容易,而不是将游戏服务器放在其他地方。这是一个好主意吗?是否存在安全风险?如果有,我该如何缓解这些风险?

答案1

是否使用“主”目录听起来更像是一个设计决策,而不一定只是安全性问题。但无论您将用户创建的文件存储在哪里:

  • 使用专用分区。您不希望用户能够停止日志记录和其他需要 root 权限的系统级操作。这也使升级和迁移变得更容易。如果您比较谨慎,请将它们放在专用硬盘上。
  • 價格。同样,您也不希望某个用户独占所有空间,破坏其他人的乐趣。设置合理的软配额和硬配额可防止这种情况发生。
  • 不执行。使用以下方式挂载分区禁止执行鼻甲这样用户就无法上传和执行任何恶意操作(如此简单)。您可能还想对 /tmp 以及服务器将文件写入的其他地方执行此操作。
  • 备份。这些可能是您服务器上最重要的文件,因为您可以重建其余文件。请像重建其他文件一样对待它们。
  • 权限。确保默认的 umask 是您想要的。
  • 公共html。除非这是您想要提供的,否则请检查 Web 服务器是否配置为提供用户网页。

相关内容