在我看到的所有生产环境中,共享用户都拥有活跃的生产stream程。 这个想法是,多个真正的用户可以作为共享prod用户sudo,并进行维护,包括运行或查杀任务。
我觉得这很烦人,因为不同的虚拟用户不断地在自己的环境中爬行(通常你需要login多个用户来控制所有的产品进程)。 任何人都可以改变环境设置,事情可以变得凌乱。 另外,知道谁运行什么也不太明显。
Linux是否意味着通过正确configuration组权限来pipe理共享进程? 还是组权限限于文件访问? 这个线程解释说,用户不能通过devise来杀死另一个用户进程,但是我仍然不相信我们需要“虚拟”生产用户。
即使您可以使用组权限执行所有pipe理,在同一用户下运行所有服务也不是明智之举,因为这意味着它们都可以读取和写入其他私人数据。
所以就安全性而言,跳过这部分不是一个好主意。 还要考虑潜在的攻击者可以进入最容易被利用的服务进程的内存空间,然后用它来访问其他服务的私有数据。
为了跟踪谁做了什么,你应该考虑审计。 我发现这个(我自己还没有testing过): http : //www.woitasen.com.ar/2011/11/auditing-user-actions-after-sudo/