Я перехожу из centOS и привык иметь никого: никого: группу для запуска сервисов. Есть ли в Ubuntu похожая комбинация «пользователь: группа» для запуска службы?
Вы можете использовать nobody: nogroup, если вам действительно нужен пользователь / группа без каких-либо разрешений. Но производные Debian обычно определяют пользователя и / или группу для каждой задачи, чтобы гарантировать, что ваши непривилегированные сервисы отделены друг от друга .
Это должен быть никто: nogroup, даже если некоторые серверы по-прежнему правильно распознают стандартный unix «nobody: nobody».
В Ubuntu есть nobody
пользователь и группа nogroup
, я думаю, что вы можете использовать их эквивалентно, если хотите.
Наличие всех (или большинства) сервисов, работающих под одним и тем же пользователем, отрицательно сказывается на цели использования непривилегированного пользователя; таким образом, я думаю, что рекомендуется использовать для каждого сервиса своего собственного пользователя (например, apache работает как www-data, я думаю, exim4 будет иметь пользователя exim4, spamassassin будет иметь пользователя spamd (я думаю! ), и так далее). Когда вы устанавливаете сервис, он заботится о создании этого пользователя для вас. Иногда управление разрешениями для обеспечения того, чтобы службы могли общаться друг с другом, может быть немного громоздким, но эти случаи обычно хорошо документированы, и дополнительная безопасность и разделение стоят (незначительных) хлопот.