我是否应该为每个网络应用创建一个新用户?

我是否应该为每个网络应用创建一个新用户?

我有一个 VPS,并且正在尝试收集有关 Web 服务用户设置方面的最佳实践。

我的服务器中有不同的服务(云应用程序、流媒体应用程序等)。

我所知道的是,我为每项服务创建了一个用户,每个用户都有自己的主目录,但无法使用它登录。

这样我就可以为每一个用户设置 cron 命令,而不用以 root 身份运行它们。它还允许我为每一个服务进行备份,并将备份存储在其自己的主目录中(我知道...我不应该将备份放在同一个磁盘上,即使是在同一台服务器上,但我没有资源购买另一台服务器来放置备份)。

除了备份之外,为每个服务创建一个新用户是个好主意吗?还是我应该把所有内容都放在 www-data 下,就这样?

答案1

使用独立账户的主要优势在于可以限制对其他服务数据的访问。这可能意味着对敏感数据的读取访问或写入访问,以限制某个应用程序受到攻击时造成的后果。

如果您使用 user 的权限运行所有 PHP 脚本,仅分离用户帐户可能还不够。www-data您可以通过为每个用户创建一个单独的 PHP-FPM 池来避免这种情况,并仅拥有该用户的权限。

相关内容