Su un server test / dev locale isolato ho elevato la natura dell'utente www-data per abilitare un flusso di lavoro fluido per l'utilizzo di Dropbox in una pipeline di sviluppo web / webapp.
Ha funzionato abbastanza agevolmente nei miei test iniziali, e mentre non ho intenzione di spostarlo in un ambiente di produzione - sono curioso di sapere se invierà le principali bandiere rosse ai professionisti della sicurezza se fosse trasferito su un server di produzione.
I dettagli:
Immediatamente dopo aver installato Ubuntu 12.04 ho cancellato e ricreato l'utente www-data con:
sudo deluser –remove-home www-data
sudo adduser --system --disabled-login --disabled-password --group www-data
Questo mi fornisce l'ambiente / home / www-data in cui Dropbox può essere installato e gestito con le autorizzazioni esattamente come Apache / Nginx / PHP / etc si aspetta che funzionino.
Per elaborare, Dropbox opera nello spazio utente con la seguente configurazione:
/home/[USER]/.dropbox-dist - is where the libraries/executables are housed
/home/[USER]/.dropbox - is where it caches data and keeps config data
/home/[USER]/Dropbox - is where it keeps the synchronized data
È strano, ma è quello che è. Lavorare in questa configurazione significa che tutti i dati sincronizzati ricevono le autorizzazioni dell'utente che lo esegue. Piuttosto che dover mettere un po 'in giro cambiando le autorizzazioni manualmente o pseudo-automaticamente sul server ogni volta che si aggiornano i file sulla workstation, ho optato per fare in modo che www-data esegua il demone stesso.
A parte le ovvie preoccupazioni legate all'esecuzione di un'applicazione proprietaria con accesso alla rete e una mentalità operativa meno convenzionale ... l'aggiornamento dell'utente www-data a uno con una presenza leggermente maggiore sulla macchina apre problemi di sicurezza che non ho previsto?
Grazie mille.