CentOS: Как я могу создать безопасную учетную запись пользователя для размещения веб-сайта?

Question

В новом приложении CentOS;

1. Как создать отдельного пользователя, отличного от root, для хранения хостинг файлов сайта?

2. Как я могу заблокировать этого пользователя, чтобы предотвратить злонамеренные или плохие вещи?

3. Как дополнительно защитить php-файл, содержащий строки подключения к БД?

4. Какие еще меры безопасности я должен предпринять для защиты такого сервера, который используется только для сервера веб-приложения? (или два)

5. Какие еще способы использовать для веб-приложения в песочнице?

Я использую Centos на VPS и хочу использовать Apache или Lighttpd в качестве веб-сервера.

Спасибо.

Answer 1

Один из лучших способов - всегда запускать только те службы, которые вам действительно нужны, на коробке, обращенной к Интернету.Поэтому, если вам нужны только apache и база данных, запустите только apache и базу данных на этом компьютере.Длинные случайные пароли для обслуживающего пользователя не разрешают прямой вход с правами root.

Относительно пользователя: добавьте пользователя с помощью useradd и заблокируйте доступ к оболочке для этого пользователя (usermod -s, установите оболочку входа в / sbin / nologin).Обычно учетная запись службы для запуска веб-сервера создается после установки веб-сервера.Если вы ограничите разрешения для этой учетной записи домашним каталогом веб-сервера и каталогами журналов, у вас все будет в порядке.

Что касается защиты базы данных: вы можете создать учетную запись пользователя БД, которая не имеет отбрасывания или создавать привилегии, нопоскольку вашему приложению необходим доступ к базе данных, кто-то, действующий с правами вашего веб-сервера или приложения, также будет иметь доступ к данным в базе данных.