Sì. Questi account ti consentono di limitare la quantità di danni che una vulnerabilità dell'app che consente l'accesso alla shell può fare.
Consideriamo le cose che potresti voler proteggere proattivamente:
- File statici che vengono offerti con privilegi di origine uguale come JavaScript. Questi non dovrebbero essere scrivibili da alcun account app poiché devono essere letti solo e solo dall'account utente per la particolare app che li serve.
- File di registro. Questi devono essere scritti da un singolo account app, ma non letti.
- File e script di configurazione. Alcuni possono essere condivisi ma non dovrebbero essere modificabili da alcun account app e, a meno che non si abbia una buona ragione, rendere i file di configurazione per app leggibili solo da quell'utente dell'app.
Se i tuoi utenti sono legati ai privilegi del database, allora tutte le tabelle per app dovrebbero essere modificabili solo dall'utente di quell'app e l'autorizzazione di modifica dello schema dovrebbe essere riservata agli amministratori.