Le diverse app Web in esecuzione su VDS hanno un proprio account utente?

5

Ho distribuito la mia seconda app per rails sul mio VDS con capistrano. Devo configurare il server delle applicazioni in modo che venga eseguito come utente diverso o uguale alla prima applicazione?

Se eseguo applicazioni come utenti diversi, sono più sicuri se una delle applicazioni viene compromessa?

    
posta zuba 04.09.2012 - 14:35
fonte

1 risposta

2

Sì. Questi account ti consentono di limitare la quantità di danni che una vulnerabilità dell'app che consente l'accesso alla shell può fare.

Consideriamo le cose che potresti voler proteggere proattivamente:

  1. File statici che vengono offerti con privilegi di origine uguale come JavaScript. Questi non dovrebbero essere scrivibili da alcun account app poiché devono essere letti solo e solo dall'account utente per la particolare app che li serve.
  2. File di registro. Questi devono essere scritti da un singolo account app, ma non letti.
  3. File e script di configurazione. Alcuni possono essere condivisi ma non dovrebbero essere modificabili da alcun account app e, a meno che non si abbia una buona ragione, rendere i file di configurazione per app leggibili solo da quell'utente dell'app.

Se i tuoi utenti sono legati ai privilegi del database, allora tutte le tabelle per app dovrebbero essere modificabili solo dall'utente di quell'app e l'autorizzazione di modifica dello schema dovrebbe essere riservata agli amministratori.

    
risposta data 04.09.2012 - 16:57
fonte

Leggi altre domande sui tag