在Linux上运行Unicorn服务器时,我正在辩论是否在系统或普通用户下运行服务。 我应该使用哪一个,为什么?
“系统用户”是一个非常含糊的说法。
无论如何,一般的经验法则是给每个服务自己的特定用户,并且该用户应该只有自己的应用程序空间的权限(即,你的apache用户不应该能够混淆你的bind用户控制,反之亦然)。 而且,这些用户不应该有任何types的“系统”权限。
这里的推理是,如果服务应用程序被某种程度的破坏(或者只是试图自己做一些不想要的/愚蠢的事情),你不希望它有能力修改除自身以外的任何东西。 你想保持它与系统的其他部分尽可能隔离。
SuperUser上的用户Flimzy 更详细地解释了这一点 。