我从 centOS 转换过来,习惯于使用 nobody:nobody 用户:组来运行服务。Ubuntu 是否有类似的最佳实践用户:组组合来运行服务?
答案1
如果你确实想要一个没有权限的用户/组,你可以使用 nobody:nogroup。但 Debian 衍生产品倾向于为每个任务定义一个用户和/或组,以确保你的非特权服务被分离彼此。
答案2
Ubuntu 有一个nobody
用户和一个nogroup
组,我想如果你愿意的话,它们可以等效地使用。
让所有(或大多数)服务在同一个用户下运行违背了使用非特权用户的部分目的;因此我认为推荐的最佳做法是让每项服务都有自己的自己的用户(例如,apache 以 www-data 身份运行,我认为 exim4 将有一个 exim4 用户,spamassassin 将有一个 spamd 用户(我认为!),等等)。当您安装服务时,它会为您创建此用户。有时管理权限以确保服务可以相互通信可能会有点麻烦,但这些情况通常都有很好的记录,增加的安全性和分隔性值得(轻微的)麻烦。
答案3
它应该是 nobody:nogroup,即使某些服务器仍然正确识别标准 unix“nobody:nobody”。