Интересно, что на моей производной Ubuntu с установленным nginx с apt
, то www-data
у пользователя есть оболочка:
$ cat /etc/passwd
www-data:x:33:33:www-data:/var/www:/bin/sh
Разве это не должно быть установлено на что-то вроде /bin/false
? Даже если пользователь не может войти в систему, не опасно ли по умолчанию предоставлять оболочку для такого системного пользователя?
Хорошо /bin/false
(или /bin/true
если ты позитивный человек) это настоящая оболочка - это просто не интерактивный оболочка :-) Там же /sbin/nologin
в некоторых системах, которые служат той же цели.
Что касается того, нужна ли вашему пользователю Apache интерактивная оболочка (что-то вроде bash
), ответ, как говорили другие, - «Обычно нет».
Установка для оболочки пользователя Apache чего-то неинтерактивного, как правило, является хорошей практикой безопасности (на самом деле все пользователи службы, которым не нужно входить в систему в интерактивном режиме, должны иметь в своей оболочке что-то неинтерактивное).
Совершите поездку по существующей среде, подобной вашей, попробуйте ее и посмотрите, не сломается ли что-нибудь.
Если ничего не сломалось, с этого момента используйте неинтерактивную оболочку.
Если что-то ломается, попробуйте исправить без восстановление интерактивной оболочки :-)