1
我正在運行與Unicorn和Nginx的Rails 3應用程序。目前,獨角獸以root身份運行,並且由於此行unicorn.rb:我應該將所有獨角獸進程作爲www-data(非root)運行嗎?
user "www-data"
但我不知道我是否應該只運行的所有進程麒麟作爲WWW的數據。這樣做會有什麼問題嗎?我正在使用文件套接字,因此打開一個端口(< 1024)不是我將遇到的問題。還有什麼我應該注意的?
A
回答
2
您不應該以root身份運行您的應用程序。這就給了應用程序根權限,這反過來又意味着如果你犯了一個錯誤並且暴露了文件系統,攻擊者就可以擁有根權限而不需要太多的努力。
我避免以www-data或其他共享用戶身份運行。相反,我爲特定的應用程序創建一個用戶併爲他們提供他們自己獨特的權限。就我而言,我在一臺服務器上運行多個應用程序,這可以在一個應用程序受到威脅時增加一層保護。
下面是一些可能出錯的東西很好看的:https://jhalderm.com/pub/papers/dcvoting-fc12.pdf
相關問題
- 1. 殺死獨角獸工作者進程?
- 2. localhost:8080沒有運行在獨角獸
- 3. Heroku中的Resque與獨角獸 - 我應該擔心嗎?
- 4. 我應該在Heroku Cedar上使用瘦身還是獨角獸
- 5. 將Pyqt GUI主應用作爲單獨的非阻塞進程運行
- 6. 獨角獸:使用哪個工作進程數量?
- 7. 獨角獸!和PostgreSQL
- 8. 獨角獸不USR2
- 9. 使用沒有nginx的獨角獸不好嗎?爲什麼?
- 10. GitLab獨角獸Web服務器沒有運行
- 11. 運行php進程太多。退出(0)會有所作爲嗎?
- 12. 獨角獸+ NGINX:無法啓動獨角獸
- 13. 我如何使用獨角獸作爲「rails s」?
- 14. 如何讓獨角獸在路徑下運行Rails 3.0應用程序?
- 15. OS X [Yosemite]:無法運行使用nginx +獨角獸的rails應用程序
- 16. 如何使用獨角獸運行基於Rack的應用程序(不是Rails)
- 17. 在opswork上部署rails應用程序時出錯[獨角獸未運行]
- 18. 將MVC應用程序作爲獨立應用程序運行
- 19. 獨角獸零宕機不起作用
- 20. nginx和獨角獸不工作
- 21. 我應該將所有後端處理分配給工作角色嗎?
- 22. 獨角獸 - 1過程而不是3?
- 23. 獨角獸加載初始化程序
- 24. 紅寶石獨角獸 - 線程異常
- 25. bundle exec rails失敗,因爲獨角獸
- 26. 我應該密封所有我認爲不應該用作基類的類嗎?
- 27. 爲什麼我不應該以root身份運行bundle install?
- 28. 獨角獸和unicorn_rails有什麼區別?
- 29. 獨角獸未能啓動
- 30. 獨角獸多機設置
那麼,你認爲用戶切換麒麟(和其他一些網絡服務器)的功能,應該不存在? – Pablo 2012-07-26 07:52:33
我不喜歡使用它。當涉及到系統管理時,我過於謹慎。誰會期望像回形針這樣的漏洞暴露?這並不是說它們不應該存在,如果系統設置正確,則不應該有必要。 – 2012-07-26 13:02:51
注意:回形針問題已得到解決,我只是用它作爲假設第三方軟件如何安全的示例,可能是一個錯誤。 – 2012-07-26 13:05:00