服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 软件编译和安全
Intereting Posts
Apache中的dynamic身份validation领域 具有2个IP地址的Windows 2008 R2 Server,如何只启用RDP到一个地址 在Google应用中发送来自域别名的电子邮件 能够创build程序而不是function 在dm-cache之上的lvm PV 安装OpenStack使用devstack安装shell脚本,但得到500错误,当我尝试打开仪表板 如何继续将RAID 1磁盘从辅助到主要? 负载平衡Bind9与Keepalived和LVS 历史数据/日志logging了Linux中的内存和磁盘存储? 我怎样才能使一个目录下的select性文件types的焦油 为什么如果表崩溃,mysql备份会增长? 处理器核心总是被加载到100%是危险的吗? 我如何限制(通过IP)访问我的边缘路由器后面的设备? 使用Ubuntu LTS版本时,更新源列表的后果 HAProxy负载平衡如何转发请求?

软件编译和安全

我已经编译了不同的软件(apache,postgresql,proftpd和jboss),然后安装到一个目录中(使用–prefix configure选项)。 我有这样的:/ opt / apache / opt / proftpd / opt / postgresql / opt / jboss。 我用同一个用户运行所有这些服务。 我已经这样做了,因为在权利pipe理方面我更容易(所有的服务都可以访问相同的数据目录)。 而且这是一种将我在一个目录中使用的所有服务“打包”的方法。

开始服务:

  • apache:以root启动,并且在configuration文件中设置了以下指令:“User pol”“Group pol”
  • postgresql:以用户“pol”开始
  • proftpd:以root启动,我在configuration文件中设置了以下指令:“User pol”“Group pol”
  • jboss:以用户“pol”开始

pol用户有一个shell。 这对维护很有用。

  • 你对这个configuration有什么看法?
  • 我应该用不同的用户运行所有这些服务吗?
  • 用户/服务pipe理的安全最佳实践是什么?

谢谢 !!

以下是关于你的问题的一些限制:

通常使用nologin的专用帐户来运行服务。

也许你应该尝试chroot或监狱至lessapache守护进程获得额外的安全性。

如果您的数据库服务器仅在本地使用,则可以考虑使用套接字来连接文件系统,并拒绝对其进行networking访问。