我通过在自己的UNIX用户帐户下对每个应用程序进行“沙盒”来部署Web应用程序,这些应用程序位于也提供静态文件的通用nginx反向代理之后。 每个帐户都运行应用程序服务器,nginx将通过fcgi转发请求。 每个用户的主文件夹都包含应用程序代码和静态文件,这些文件当然需要由nginx读取。
我试图尽可能地保证这个设置,并且在阅读这个主题时看到/bin/false 。
如果我将应用程序用户的shell设置为/bin/false ,那么在安全性方面我会获得什么?
这个问题可能是相关的: https : //unix.stackexchange.com/questions/28888/why-does-the-bin-user-need-a-login-shell 。
一般来说,使用/ bin / false(或者最好是/ sbin / nologin)获得的一件事情就是login尝试失败,即使在本来允许的情况下也是如此。 这通过https://www.digitalocean.com/community/tutorials/how-to-restrict-log-in-capabilities-of-users-on-ubuntu进行了更详细的介绍。
因此,这是防范账户滥用/暴力强制的一部分。