У меня есть VPS, и я пытаюсь собрать передовой опыт с точки зрения настройки пользователей для веб-сервисов.
У меня на сервере есть разные сервисы (облачное приложение, потоковое приложение и т. Д.).
Что я действительно знаю, так это то, что я создаю пользователя для каждой службы, у каждой из которых есть собственный домашний каталог, но невозможно войти с ним.
Это позволяет мне настраивать команду cron для каждого пользователя вместо того, чтобы запускать их от имени пользователя root. Это также позволяет мне делать резервные копии для каждой службы и хранить их в собственном домашнем каталоге (я знаю ... у меня не должно быть резервных копий на том же диске, даже на том же сервере, но у меня нет ресурсов для купите другой сервер, чтобы разместить свои резервные копии).
Без резервного копирования, стоит ли создавать нового пользователя для каждой службы? Или надо все положить под www-data и все?
Основное преимущество использования отдельных учетных записей - это возможность ограничить доступ к данным других сервисов. Это может означать доступ для чтения к конфиденциальным данным или доступ для записи, чтобы ограничить последствия, если одно приложение будет взломано.
Одного разделения учетных записей пользователей может быть недостаточно, если вы запускаете все скрипты PHP с привилегиями пользователя www-data. Вы можете избежать этого, создав отдельный пул PHP-FPM для каждого пользователя, имея привилегии только этого пользователя.