¿Las diferentes aplicaciones web que se ejecutan en VDS tienen cada una su propia cuenta de usuario?

5

Desplegué mi segunda aplicación de rieles en mi VDS con capistrano. ¿Debo configurar ese servidor de aplicaciones para que se ejecute como un usuario diferente, o igual que la primera aplicación?

Si ejecuto aplicaciones como usuarios diferentes, ¿están más seguros si una de las aplicaciones se ve comprometida?

    
pregunta zuba 04.09.2012 - 14:35
fuente

1 respuesta

2

Sí. Estas cuentas le permiten limitar la cantidad de daños que puede hacer una vulnerabilidad de la aplicación que permite el acceso de shell.

Consideremos las cosas que quizás desee proteger de forma proactiva:

  1. Archivos estáticos que se sirven con privilegios del mismo origen como JavaScript. Estas cuentas no deben poder ser escritas por ninguna cuenta de la aplicación ya que solo necesitan ser leídas y solo por la cuenta de usuario para la aplicación en particular que las sirve.
  2. Archivos de registro. Estos deben ser escritos por una sola cuenta de la aplicación, pero no leídos.
  3. Archivos de configuración y scripts. Algunos pueden compartirse, pero no deben poder escribirse en ninguna cuenta de la aplicación y, a menos que tenga una buena razón, haga que los archivos de configuración de cada aplicación sean legibles para ese usuario de la aplicación.

Si sus usuarios están vinculados a los privilegios de la base de datos, las tablas por aplicación solo deben ser modificables por el usuario de esa aplicación, y la autoridad de cambio de esquema debe estar reservada a los administradores.

    
respondido por el Mike Samuel 04.09.2012 - 16:57
fuente

Lea otras preguntas en las etiquetas