Назад | Перейти на главную страницу

Нужна ли пользователю www-data настоящая оболочка?

Интересно, что на моей производной Ubuntu с установленным nginx с apt, то www-data у пользователя есть оболочка:

$ cat /etc/passwd
www-data:x:33:33:www-data:/var/www:/bin/sh

Разве это не должно быть установлено на что-то вроде /bin/false? Даже если пользователь не может войти в систему, не опасно ли по умолчанию предоставлять оболочку для такого системного пользователя?

Хорошо /bin/false (или /bin/true если ты позитивный человек) это настоящая оболочка - это просто не интерактивный оболочка :-) Там же /sbin/nologin в некоторых системах, которые служат той же цели.

Что касается того, нужна ли вашему пользователю Apache интерактивная оболочка (что-то вроде bash), ответ, как говорили другие, - «Обычно нет».
Установка для оболочки пользователя Apache чего-то неинтерактивного, как правило, является хорошей практикой безопасности (на самом деле все пользователи службы, которым не нужно входить в систему в интерактивном режиме, должны иметь в своей оболочке что-то неинтерактивное).

Совершите поездку по существующей среде, подобной вашей, попробуйте ее и посмотрите, не сломается ли что-нибудь.
Если ничего не сломалось, с этого момента используйте неинтерактивную оболочку.
Если что-то ломается, попробуйте исправить без восстановление интерактивной оболочки :-)