En un servidor local de prueba / dev aislado, he elevado la naturaleza del usuario www-data para permitir un flujo de trabajo sin problemas para usar Dropbox en un canal de desarrollo web / webapp.
Ha funcionado bastante bien en mis pruebas iniciales, y si bien no planeo pasarlo a un entorno de producción, tengo curiosidad de si enviaría alguna señal de alerta importante a los profesionales de seguridad si se moviera a un servidor de producción.
Los detalles:
Inmediatamente después de instalar Ubuntu 12.04, eliminé y volví a crear el usuario www-data con:
sudo deluser –remove-home www-data
sudo adduser --system --disabled-login --disabled-password --group www-data
Esto me proporciona el entorno / home / www-data en el que se puede instalar y operar Dropbox con los permisos exactamente cómo Apache / Nginx / PHP / etc esperan que funcionen.
Para elaborar, Dropbox opera en el espacio del usuario con la siguiente configuración:
/home/[USER]/.dropbox-dist - is where the libraries/executables are housed
/home/[USER]/.dropbox - is where it caches data and keeps config data
/home/[USER]/Dropbox - is where it keeps the synchronized data
Es extraño, pero es lo que es. Trabajar en esta configuración significa que todos los datos sincronizados reciben los permisos del usuario que lo ejecuta. En lugar de tener que cambiar los permisos de forma manual o pseudo-automática en el servidor cada vez que se actualizan los archivos en la estación de trabajo, he optado por que www-data solo ejecute el demonio.
Aparte de las preocupaciones obvias de ejecutar una aplicación propietaria con acceso a la red y una mentalidad de operación menos que convencional ... hace que actualizar el usuario de www-data a uno con una presencia algo mayor en la máquina abra problemas de seguridad que no tengo previsto?
Muchas gracias.