個人開発のためにVirtualBoxにLAMPサーバーを設定しています。これはUbuntu Server 12.04のインストールになり、Drupal、Yii、およびその他の小規模なPHPアプリケーションに仮想ホスティングを使用します。理想的には、新しい仮想ホストの作成を避け、/var/www代わりにpublic_htmlユーザーフォルダの下に作成することを選択したいと思います。家目次。
ホームディレクトリでこれらのアプリケーションを「ホスト」するために別のユーザー(root以外のユーザー)を作成することにはどのような利点がありますか?それとも、セットアップ中に作成されたrootユーザーで十分ですか?私はこの質問をするのが少し賢明であることを知っていますが、これは個人開発のためのLAMPサーバー設定に関する他のウェブサイト(URLが覚えていない)で見たアドバイスに基づいています。私はこれが本番環境でのみ重要だと思います。権限、セキュリティなどについて考えています。
編集する:rootユーザーを使用すると問題が発生しますか?それとも、ルートではなく新しいユーザーを作成する方が安全ですか?
編集2:この記事を非推奨にしないでください!私はまだLinuxの学習パスにあるので、この点を明確にしたいと思います。 :)
ベストアンサー1
ネットワーク経由でアクセスできる場合はそうです。 Apacheがpublic_htmlにアクセスするには、ルートのホームディレクトリへの特定のレベルのアクセス権が必要です(ソフトウェアの脆弱性または安全でない設定を介してルートのホームディレクトリに何かを追加する方法を見つけた場合、これは災害になる可能性があります.bash_profile) 。
ルート以外のアカウントでは、できるだけ少なく実行してください。 root以外のアカウントでタスクを実行することは「セキュリティの高い」予防措置ではなく、すべてのパスワードをそのユーザー名と同じに設定しないのと同じ方法で非常に基本的な予防措置です。ホームシステムでも依然として攻撃を受ける可能性があります。私の個人的なパブリックWebサーバーとsshdは外部ソースから絶えず攻撃されます(誰にもそれが存在すると言う必要はありません)。 IPは通常、南アメリカや中国で終了します。 NATとファイアウォールの背後にある場合でも、システムはまだターゲットになる可能性があります。
ネットワーク経由でアクセスできない場合、個人の開発が一種の本番シナリオで作業する制約を反映する必要があることを除いて、この質問は概して無意味です。 「本番」にならない場合でも、適切に機能するために安全でない構成を必要とするアプリケーションを誤って開発しないように、安全装置を用意することをお勧めします。
編集する:
もう1つのポイント:ルートのホームディレクトリの外にVHostを提供する場合、これは別の非常に基本的なセキュリティ要件であるルートとして直接ログインしていることを意味します。PermitRootLogin noinsshd_configまた、妥当な理由がない限り、有効な構成でなければなりません。