rootとして実行しCentOS 6.2
てインストールしますnginx
。インストール後のセキュリティを強化するために、インストール所有者とグループを独自のユーザーとグループに変更しました。
rootとしてログインしてyum update
更新を実行しましたnginx
が、多くのファイル所有者グループがrootに戻ることがわかりました。
アップデート中に希望の所有権を維持する方法はありますか?nginx
ユーザーとしてログインして更新を実行することもできます(これは可能か推奨ですか?)
ベストアンサー1
あなたがしたことはひどかった。止まる
アプリケーションをnginx
ユーザーが所有しnginx
、そのユーザーとして実行している場合は、nginx
アプリケーションが悪用されたときに独自のファイルを上書きする可能性があります。あなたはこれをしたくありません。
アプリケーションバイナリはほぼ常に所有している必要がありますroot
。サービスは、ほとんど常にnobody
権限のない他の同様のアカウントで実行する必要があります。
同様に、Webサーバーを実行しているのと同じユーザーがWebコンテンツを所有することを望まないでしょう。これを行うと、攻撃者はあなたのコンテンツを変更する可能性があります(つまり、サイトを損傷する可能性があります)。
できるだけ多くの権限分離を使用し、できるだけ少ない権限を使用しようとします。
- アプリケーション所有者
root
(したがってroot
修正のみ許可) - 権限のないユーザーが実行するサービス(したがって、システムにほとんどまたはまったくアクセスできない)
- 可能であれば、サービスユーザーはサービスコンテンツを所有してはいけません。