¿Debo usar un usuario 'admin' por separado como mi "sudo raíz" o conceder sudo a mi 'aplicación'? -- 12.04 campo con permissions campo con sudo campo con users campo con root camp askubuntu Relacionados El problema

Should I use a separate 'admin' user as my “root sudo” or grant sudo to my 'app' user?


1
vote

problema

Español

Todavía estoy envolviendo mi cerebro alrededor de la filosofía de administración de usuarios 'Nulify Root' de Ubuntu (y Linux en general) y me pregunto si debería "reemplazar" a mi usuario root con un usuario llamado "admin" (que básicamente Tiene todos los poderes de la raíz, al usar sudo) y crear otro usuario llamado 'aplicación' que será el usuario principal para mi aplicación.

Aquí está el contexto:

  • ejecutaré una pila LNMP en Ubuntu 12.04 Server LTS.
  • Habrá una sola aplicación que se ejecute en el servidor.
  • El usuario 'aplicación' necesita tener super privilegios para MySQL.
  • PHP deberá poder ejecutar () Comandos de Shell.
  • El usuario 'aplicación' deberá poder transferir archivos a través de SFTP.

y estoy pensando que este sería el mejor enfoque:

  • usuario 'nullify' 'raíz'
  • Crear un usuario llamado 'admin' que será un sudoor completo de root, este será el nuevo usuario de "raíz" de NGINX, PHP y MySQL (y todo el software del sistema)
  • Grant Super Privileges a 'APP' en MySQL
  • PRIVILENCIONES DE SIFT SFTP a solo el usuario 'APP'.

Como soy nuevo en esto, y la información que he encontrado en la investigación tiende a ser de una naturaleza más general, me pregunto si esto es un enfoque sólido, o si es poco ortodoxo de una manera que lo haría causar problemas en la carretera.

Gracias de antemano por cualquier ayuda.

Original en ingles

I'm still wrapping my brain around the Ubuntu 'nullify root' user management philosophy (and Linux in general) and I'm wondering if I should 'replace' my root user with a user called 'admin' (which basically has all the powers of the root, when using sudo) and create another user called 'app' that will be the primary user for my app.

Here's the context:

  • I'll be running a LNMP stack on Ubuntu 12.04 Server LTS.
  • There will be only one app running on the server.
  • The 'app' user needs to have SUPER privileges for MySQL.
  • PHP will need to be able to exec() shell commands.
  • The 'app' user will need to be able to transfer files via SFTP.

And I'm thinking this would be the best approach:

  • nullify 'root' user
  • create a user called 'admin' that will be a full sudoer of root, this will be the new "root" user of NGINX, PHP, and MySQL (and all system software)
  • grant SUPER privileges to 'app' in MySQL
  • Grant SFTP privileges to only the 'app' user.

As I'm new to this, and the information I've found in researching it tends to be of a more general nature, I'm wondering if this is a solid approach, or if it's unorthodox in a way that would cause issues down the road.

Thanks in advance for any help.

              

Lista de respuestas

1
 
vote
vote
La mejor respuesta
 

Los permisos completos de sudo deben reservarse para usuarios humanos reales. Un usuario en cuyo contexto que planea ejecutar los servicios de red principalmente no necesita esos. También puede pensar en deshabilitar la contraseña y el shell de inicio de sesión para un usuario tan puramente "virtual", al marcar el campo de contraseña en /etc/shadow y configurar el shell en /etc/passwd a ABCDEFGHIJKLMNABCDEFGHIJKLMN3 .

Creación de usuarios separados para servicios, usuarios de aplicaciones, a medida que lo llame, es una técnica común.

 

Full sudo permissions should be reserved for actual human users. A user in whose context you plan to run network services primarily doesn't need those. You can also think about disabling the password and login shell for such a purely "virtual" user, by blanking the password field in /etc/shadow and settind the shell in /etc/passwd to /bin/false.

Creating separate users for services, app users, as you call it, is a common technique.

 
 
   
   

Relacionados problema

-3  ¿Qué es "superusuario" y cómo obtengo ese privilegio?  ( What is superuser and how do i get that privilege ) 
Estoy intentando configurar manualmente DPKG debido a la advertencia del administrador de paquetes. E: dpkg was interrupted, you must manually run 'dpkg --...

0  ¿Cómo aumentaría el tamaño de mi partición raíz en este caso?  ( How would i increase the size of my root partition in this case ) 
Estoy usando una máquina que está dividida con Windows. ¿Cómo voy a mover el espacio sin asignar 10GB que acabo de tomar de W10 y transferirlo a mi partición ...

3  Ubuntu 11.10 con KDE instalado no solicita elevación para operaciones privilegiadas en todas las aplicaciones  ( Ubuntu 11 10 with kde installed does not prompt for elevation for privileged ops ) 
I instalé el administrador de la ventana de KDE en la parte superior de Ubuntu 11.10 y mientras estoy usando KDE, no recibo un cuadro de diálogo de elevación ...

2  Permiso denegado en segmentos de memoria compartida en / dev / shm /  ( Permission denied on shared memory segments in dev shm ) 
En Ubuntu 20.04 Estoy teniendo problemas con el acceso a segmentos de memoria compartida por diferentes usuarios. Los archivos asociados se crean usando shm_...

0  Comience con la consola interactiva Shell  ( Start with interactive console shell ) 
Esta es una pregunta de seguimiento para mi hilo anterior . Esta solución funciona muy bien. Sin embargo, después de arrancar, solo veo un cursor parpadeante...

92  ¿Cómo puedo iniciar sesión como root?  ( How do i login as root ) 
quiero iniciar sesión como root, pero cuando entro sudo -s e ingrese la contraseña, se muestra este mensaje: "No está en el archivo de sudoers", y cuan...

2  RM -i alias no funciona con sudo como root  ( Rm i alias not working with sudo as root ) 
He notado en todos mis servidores de Ubuntu el alias rm -i se ignora cuando ejecuta sudo rm * como root. ¿Hay algo en sudo que está causando este comporta...

50  ¿Cómo obtengo permisos para editar archivos de configuración del sistema?  ( How do i get permissions to edit system configuration files ) 
Parece que no puedo editar y guardar archivos de configuración en el sistema raíz (por ejemplo: /etc/dhcp/dhcpd.config ); Simplemente dice "permiso denegado"...

2  Ubuntu 18.10 Habilitar el escritorio remoto para la raíz  ( Ubuntu 18 10 enable remote desktop for root ) 
He habilitado root Inicia sesión en Ubuntu 18.10 con gnomektop, funciona bien. También he instalado ABCDEFGHIJKLMNABCDEFGHIJKLMN3 , y funciona bien para us...

4  ¿Cómo deshabilitar el inicio de sesión de la raíz de la GUI?  ( How to disable gui root login ) 
En algún momento, acabo de probarlo para ver si podría iniciar sesión en el escritorio de la raíz, y lo sucedí. Hice clic en otros en la lista de usuarios e i...




© 2022 respuesta.top Reservados todos los derechos. Centro de preguntas y respuestas reservados todos los derechos