当我想运行某些服务时,例如。 Redis - 然后,根据以下Guide我建议在生产时运行专用用户和init脚本。
这样做的主要优点是什么?
答案 0 :(得分:2)
答案 1 :(得分:2)
最常见的原因:假设服务中存在一些安全漏洞,允许外部攻击者在将一些随机数据推送到开放端口后在您的计算机上执行命令(这种情况时有发生,尽管我还没有'听说它发生在redis)
如果服务以root用户身份运行,则此漏洞现在可以影响整个计算机,擦除磁盘,窃取数据库,安全密钥等等,如果服务作为受限用户运行,只能访问此服务所必需的内容run(用于保存数据的几个目录,对/ etc / something的读访问,执行/ usr / bin可执行文件等),可以大大减少可以造成的损失。
但它不一定是恶意攻击。不久之前,一些与linux中的显示驱动程序有关的软件,以root身份运行一个守护进程,并且脚本中的拼写错误导致应该是“rm -rf / usr / lib / something”的行为“rm / usr / lib / something“,擦干整个分区。