Zamanlanmış görevler için özel linux kullanıcısına ihtiyacım var mı?

1

Diyelim ki internetten / güncelleme görevlerinden yedekleme / senkronizasyon / indirme için bash komut dosyalarım var. Onları crontab ile programa koyacağım. Kök için crontab oluşturmak güvenli midir, yoksa özel linux kullanıcısına ihtiyacım var mı? Ve eğer ihtiyacım olursa neden?

UPD: Aslında üç seçenek var: 1) root - Tamam. Kötü bir seçenek. 2) mevcut kullanıcı. 3) özel kullanıcı.

Özel kullanıcı varolandan daha iyi (örneğin, iş istasyonu sahibi, normal kullanıcı)? Özel kullanıcı nologin yapamayacağım, çünkü ssh üzerinden rsync kullanıyorum ve senkronize ettiğim uzak makineye yeni kullanıcı eklemek zorunda kalacağım.

linux  bash  security  crontab 
Vsevolod
kaynak
Sadece bir güvenlik tehdidinden bahsetmek gerekirse, eğer DNS bir şekilde tehlikeye atılırsa, o zaman potansiyel olarak tehdit edici bir komut dosyası indirirsiniz. Kök kullanmadığınız için çok mutlu olursunuz. Ayrıca, /bin/falsebu kullanıcı için kabuk olarak kullanmayı düşünün .
vfsoraki
Evet. Cronjob çalışan bilgisayarda bir kullanıcı nologin yaptım. Ve kullanıcının giriş kabuğunu uzak sunucularda kısıtlı olarak değiştireceğim.
Vsevolod

Yanıtlar:

3

Her şeyi, tam olarak ihtiyaç duyduğu kadar erişim ve izinleri olan ve daha fazlası olmayan, root olmayan bir kullanıcı olarak çalıştırmak her zaman daha iyidir.

Kök olarak bir şeyi çalıştırmanın "güvenli" olup olmaması, ne yaptığına bağlıdır ( echo ""> / dev / null nispeten zararsızdır :)), ancak her zaman root olmayan bir kullanıcı olarak çalıştırmaktan daha az güvenlidir, çünkü Bir olayı etkilememesi gereken bir şeyi etkileyebileceği yerlere hangi olasılıkla baktığınızı asla bilemezsiniz.

İşte bir kez başıma gelen bir şey, tıpkı bir örnek olarak: peki, bash tarihinizin bir bölümünü komut dosyasına kopyaladığınız bir kopya pastasıyla yanlışlıkla tehlikeli bir bash komutu yazarsanız (örneğin, bazı rm -rf içeren) süper kullanıcı gönderimindeki satırların yerine örnek kodlu satırların göreceli bir yoldaki komutunu kullanın). O cronjob'ü doğru kullanıcı altında çalıştırdığım için mutlu muydum :) Şimdi olan tek şey, kullanıcının git config'inin kaybolmasıydı ...

SadBunny
kaynak
Merhaba SadBunny. Evet, bunu da yaptım: görünce birkaç kez rahatladım: can't remove .. permission deniedbenim durumumda çoğunlukla rm komutu için yanlış filtreler vardı. Ancak başka bir seçeneği de düşünmek istiyorum: iş istasyonu otomasyonu için bu ikilemi yaşadığım için mevcut kullanıcı olarak çalışmak. Güncellenmiş soruyu kontrol eder misiniz?
Vsevolod
Eh, aynı şeyler az ya da çok uygulanır, özel kullanıcı elbette daha güvenlidir, çünkü mevcut kullanıcıdaki bir şeyi değiştirdiğinizde 6 ay boyunca cronjob'ı unutursanız ya da geçici olarak daha fazla hak verirseniz, ssh anahtarlarını değiştirirseniz veya belki de tamamen kaldırın ... Risk, elbette root kullanmaktan kesinlikle daha azdır, elbette, bunlar sizin seçeneklerinizse ve özel bir kullanıcının çok fazla geriye eğilmenizi gerektirdiğini düşünüyorsanız, o zaman kesin. Kimseye söylemediğim halde kendimi bu uzlaşmayı
yaparken görebiliyorum
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.