Nextcloud Snap - 漏洞问题

Nextcloud Snap - 漏洞问题

我的公司需要一个自托管文件共享解决方案,在浏览网页后,我决定使用 Nextcloud。为了测试它,我使用 snap 将其安装在 Debian 9 服务器上。一切都运行良好,这正是我公司正在寻找的解决方案。

然而,我的同事向我指出,每个 nextcloud 服务(Apache、MySQL 等的独立 snap 守护程序...)都以 root 用户身份运行,并且由于经典 Apache 以专用用户身份运行,因此可能会导致一些漏洞问题。

所以我想知道 Nextcloud 的快速安装是否适合生产环境,或者我是否应该进行手动完整安装。

谢谢 !

答案1

这似乎与理解 Nextcloud 的工作原理无关,而与 Snap 有关。Snap 提供自己的文件系统和环境,不允许在主机系统上写入,但可以从中读取。

您可以将它们视为类似 docker 镜像,但它们仍然是主机系统的一部分,例如共享其 IP。

snap 本身是不可变的,但是您可以将外部存储安装到 snap 中,例如用于保存文件。snap 本身的配置是在 snap 外部完成的,文件存储是通过在 snap 中安装特定文件夹来实现的,snap 无法脱离这些文件夹。

对于 nextcloud-snap,请参阅此处的文档: https://github.com/nextcloud/nextcloud-snap

话虽如此:如果你想让它在 snap 中运行还是单独运行取决于你的使用情况。你是否只将这台特定的服务器用于 Nextcloud?它是虚拟机吗?你使用哪种备份解决方案?snap 如何集成到你环境的其余部分?

如果您只打算在那台虚拟机/服务器上运行 Nextcloud,那么本机安装是显而易见的选择,因为 snap 只会增加开销。如果您还在同一台机器上使用其他 snap,那么 snap 可能是最佳选择。

不过,您的安全问题并不是选择其中一个的真正原因,因为再次强调,Snap 是它们自己的封闭环境,只有数据是可写的。事实上,我甚至认为它们提高了安全性,因为它们也受到 apparmor 的监控。

相关内容