「gogs」独自のホスティングGitサービスを使用していますが、次のようなよりアクティブなブランチに変更したいと思います。ギテア。これインストールに関する注意git
たとえば、gitea用のユーザーを特別に作成する必要があるとします。
adduser \
--system \
--shell /bin/bash \
--gecos 'Git Version Control' \
--group \
--disabled-password \
--home /home/git \
git
現在、特別なユーザーはなく、Windowsでgogsを使用しています。今私はLinuxでgiteaを使いたいのですが、混乱しています。デーモンについて全般的に理解していないので、そうだ。
Windowsでは、サービスを開始したいときにサービスを実行すると、サービスを停止するまでターミナルウィンドウまたはバックグラウンドサービスとして開きます。 Linuxでも同じことができますが、なぜ専用のユーザーが必要なのですか?
他のサービスも同じ方法を使用すると仮定するため、そのサービスを使用または使用していない専用ユーザーが何を意味するのかを理解する必要があります。
(これはユーザーがログインせずにサービスを実行して起動することに関連していると思います。しかし、他の多くのサービスがすでに実行されており、専用ユーザーは必要ありませんか?)
ベストアンサー1
あなたの混乱は、Windowsで実行されている作業を理解していないために発生します。 Windowsでは、実際に提供するService Control Managerで実行すると、専用のユーザーアカウントのサポートを受けて常に実行できます。 Windows では、正しい権限のないサービスは、SCM がログインしてサービス プロセスを生成する専用の権限のないユーザー アカウントのユーザー名を使用します。
何あなたそれに対して私たちがやっていることはいいえサービスをまったく実行します。バックグラウンド対話型ログインセッションでプログラムを実行しています。使用中の端末ではありません。快適。
実際にサービス専用アカウントを使用する理由は、WindowsオペレーティングシステムとLinuxオペレーティングシステムの両方で同じです。専用アカウントのスポンサーの下で別々のプロセスでサービスを実行することは、オペレーティングシステムのメカニズムがユーザーを互いに保護することを意味します(Windows NTとLinuxは最初からマルチユーザーであったことに注意してください)。返品以下からサービスプロセスを保護してください。あなた、対話型ユーザー、その他のサービス。彼らはあなたと他のサービスを保護しますサービスから。
マルチユーザーメカニズムは、サービスプログラムで使用されるファイルとディレクトリへのきめ細かなアクセス制御を可能にし、悪意のあるプロセスがサービスにランダムな信号を送信するのを防ぎ、サービスプロセスを追跡するためのデバッグAPIの使用を防ぎ、スレッド注入を防ぎ、ランダムなプロセスを防ぎます。スレッドを一時停止して再開できません。これらの予防措置はすべて逆に機能します。つまり、サービスが破損した場合、他の人にこれらのタスクを実行することはできません。
ネットワーク要求に応答するサービスを実行しています。このため、専用ユーザーアカウントのスポンサーとして実行するように設計されています。これは、プログラムの正しい構文解析のためにマイナーでない複雑な人が読めるプロトコルを使用し、このパーサーのどこかでバグが発生すると破損する可能性があります。ただし、これを正常に破損させる攻撃者は、システムにアクセスするために使用する専用サービスユーザーとしてのみシステムにアクセスできます。しなければならない意図された機能の一部ではないファイルとディレクトリが不必要にアクセスまたは所有されていないことを確認してください。
私はこれを自分自身を記録することに拡張しました。個々のログサービスは、特定のログディレクトリにアクセスして記録するために必要な権限でのみ実行され、相互、対話型ユーザー、さらにはログを記録する(無許可の)「基本」サービスからも分離されます。
うまく設計されたシステムでは、特権アクセスで実行されるサービスプロセスはほとんどありません。通常、SSH や FTP サービスなど、一種のマルチユーザーログインを提供します。ここで、サービスの主な部分は実際には権限のないアカウントのスポンサーとして実行されますが、状況は簡単です。サービス機能のユニークな部分です。
したがって、giteaディレクティブが次のようになるかどうかを検討する必要があります。十分だろう。作成中のサービスアカウントはSSHを介した対話型ログインを許可し、ログインプログラムとして対話型シェルプログラムを持ち、ホームディレクトリを持っているため、破損したサービスがコンテンツをここに保存し、そのコンテンツへのアクセスを許可することがあります。
追加読書
- ジョナサンデボインポラード(2018)。 」紹介する」。 スナックガイド。ソフトウェア。
- ジョナサンデボインポラード(2018)。 」ログサービスセキュリティ:専用ログユーザーアカウント」。 スナックガイド。ソフトウェア。
- ジョナサンデボインポラード(2018)。 」制限付きサービス:権限のないユーザーアカウントのスポンサーとして実行されます。」。 スナックガイド。ソフトウェア。
- 」サービスユーザーアカウント」。 Windowsデスクトップ:システムサービス。 MSDN。マイクロソフト。
- 」サービスのユーザーアカウントの設定」。 Windowsデスクトップ:Active Directoryドメインサービス。 MSDN。マイクロソフト。
- ダニエルJ.バーンスタイン。 キューメールセキュリティ。 cr.yp.to.
- ジョナサンデボインポラード(2011)。TUI用コンソールと端末の例。よく与えられる答えです。
- https://unix.stackexchange.com/a/198713/5132
- https://unix.stackexchange.com/a/447329/5132