私は2台のコンピュータを同期させるためにNTPを使用してネットワーク時間を変更するアプリケーションを開発しました。root後者のみがLinuxで時刻と日付を変更できるため、次のように実行されます。
今、ユーザーとして実行したいと思います。しかし、時間が少し必要です。
- root以外のユーザーアカウントでデーモンを実行するのは良い習慣ですか?
- 申請書にaを与えることはできますか?能力例えば
CAP_SYS_TIME? - セキュリティの脆弱性は発生しませんか?
- もっと良い方法がありますか?
ベストアンサー1
root以外のユーザーアカウントでデーモンを実行するのは良い習慣ですか?
はい、これは非常に一般的なことです。たとえば、Apache は root で始まり、新しいプロセスを分岐します。www-データ(基本的に)。
前述のように、プログラムがハッキングされている場合(コードの挿入など)、攻撃者はrootアクセス権を取得できませんが、特定のユーザーに付与した権限に制限されます。
「CAP_SYS_TIME」などの「機能」を付与する必要がありますか?
使用を避けることをお勧めします。ユーザーIDの設定、この特定の機能に対する権限を制限します。
「ベストプラクティス」と見なされる他の方法を使用する必要がありますか?
以下を使用してセキュリティを強化できます。
- シェルを必要としない権限のないユーザーとしてサービスを実行します。
- 使用chrootユーザーをホームディレクトリにロックします。