Моей компании требуется автономное решение для обмена файлами, и после просмотра веб-страниц я решил перейти на Nextcloud. Чтобы проверить это, я использовал snap, чтобы установить его на сервер Debian 9. Все работает как шарм, и это то, что моя компания ищет в качестве решения.
Однако мой коллега указал мне, что каждая служба nextcloud (автономные демоны оснастки Apache, MySQL и т. Д.) Работает от имени пользователя root и что это может вызвать некоторые проблемы с уязвимостью, поскольку классический Apache запускается от имени выделенного пользователя.
Поэтому мне интересно, подходит ли моментальная установка Nextcloud для производственной среды или мне следует перейти на полную установку вручную.
Спасибо !
Кажется, это не проблема с пониманием того, как работает Nextcloud, это больше касается снимков в целом. Snap предоставляют свою собственную файловую систему и среду, им не разрешено писать в хост-системе, но они могут читать из нее.
Вы можете думать о них как о образах докеров, но они все еще являются частью хост-системы, например поделитесь своим IP.
Сама привязка неизменяема, однако вы можете подключить внешнее хранилище к оснастке, например для сохранения файлов. Конфигурация самих привязок выполняется вне привязок, а хранение файлов достигается за счет установки определенных папок внутри привязок, из которых привязка не может вырваться.
Для nextcloud-snap смотрите документацию здесь: https://github.com/nextcloud/nextcloud-snap
При этом все сказано: если вы хотите, чтобы он запускался мгновенно или самостоятельно, зависит от вашего варианта использования. Вы используете этот конкретный сервер только для Nextcloud? Это виртуальная машина? Какое решение для резервного копирования вы используете? Как снимки интегрируются в остальную часть вашей среды?
Если вы просто планируете запустить Nextcloud на этой одной виртуальной машине / сервере, естественная установка - очевидный выбор, поскольку привязки просто создают накладные расходы. Если вы также используете другие снимки на том же компьютере, возможно, вам удастся их получить.
Ваши соображения безопасности на самом деле не являются причиной выбора одного из них, поскольку, опять же, привязки - это их собственная замкнутая среда, только данные доступны для записи. На самом деле я бы даже сказал, что они повышают безопасность, поскольку они также контролируются apparmor.