Je suis en train de convertir un centOS et suis habitué à avoir un utilisateur: personne: groupe pour l'exécution des services. Ubuntu a-t-il une combinaison utilisateur/groupe similaire recommandée pour l'exécution d'un service?
Vous pouvez utiliser nobody: nogroup si vous voulez vraiment un utilisateur/groupe sans permissions. Mais les dérivés de Debian ont tendance à définir un utilisateur et/ou un groupe par tâche pour garantir que vos services non privilégiés soient séparés les uns des autres.
Ubuntu a un utilisateur nobody
et un groupe nogroup
, je suppose que ceux-ci peuvent être utilisés de manière équivalente si vous le souhaitez.
Le fait d'avoir tous (ou la plupart) des services exécutés sous le même utilisateur annule en partie l'objectif d'utiliser un utilisateur non privilégié; Je pense donc que la meilleure pratique recommandée est que chaque service ait son utilisateur propre (par exemple, Apache fonctionne en tant que www-data, je pense que exim4 aura un utilisateur exim4, spamassassin aura un utilisateur spamd (je pense !), etc). Lorsque vous installez un service, il se charge de créer cet utilisateur pour vous. Parfois, la gestion des autorisations pour s’assurer que les services peuvent communiquer entre eux peut être un peu lourde, mais ces instances sont généralement bien documentées et la sécurité et le compartimentage ajoutés en valent la peine (mineure).
Ce ne devrait être personne: nogroup, même si certains serveurs reconnaissent toujours correctement le standard Unix "personne: personne".