ฉันต้องการผู้ใช้ linux เฉพาะสำหรับงานที่กำหนดหรือไม่?

บอกว่าฉันมีทุบตีสคริปต์สำหรับการสำรองข้อมูล / ซิงค์ / ดาวน์โหลดจากงานอินเทอร์เน็ต / อัปเดต ฉันจะเรียกใช้พวกเขาตามกำหนดเวลาด้วย crontab มันปลอดภัยที่จะสร้าง crontab สำหรับรูทหรือฉันต้องการผู้ใช้งานลินุกซ์โดยเฉพาะ? และถ้าฉันต้องการมันทำไมฉันถึง?

UPD: จริง ๆ แล้วมีสามตัวเลือก: 1) root - Ok มันเป็นตัวเลือกที่ไม่ดี 2) ผู้ใช้ที่มีอยู่ 3) ผู้ใช้เฉพาะ

ผู้ใช้โดยเฉพาะนั้นดีกว่าที่มีอยู่ (เช่นเจ้าของเวิร์กสเตชันผู้ใช้ทั่วไป) หรือไม่ ระบุว่าฉันไม่สามารถสร้างผู้ใช้ nologin โดยเฉพาะได้เนื่องจากฉันใช้ rsync ผ่าน ssh และฉันจะต้องเพิ่มผู้ใช้ใหม่บนเครื่องระยะไกลที่ฉันซิงค์อยู่

— อด
แหล่งที่มา

เพียงกล่าวถึงภัยคุกคามความปลอดภัยหาก DNS ของคุณถูกบุกรุกคุณจะต้องดาวน์โหลดสคริปต์ที่อาจเป็นภัยคุกคาม คุณจะมีความสุขมากที่คุณไม่ได้ใช้รูท นอกจากนี้ให้พิจารณาใช้/bin/falseเป็นเชลล์สำหรับผู้ใช้นั้น

— vfsoraki

ใช่. ฉันได้ทำผู้ใช้ nologin บนคอมพิวเตอร์ที่ใช้ cronjob และฉันจะเปลี่ยนเปลือกเข้าสู่ระบบของผู้ใช้เพื่อ จำกัด บนเซิร์ฟเวอร์ระยะไกล

— Vsevolod

มันมักจะดีกว่าที่จะเรียกใช้สิ่งที่เป็นผู้ใช้ที่ไม่ใช่รากที่มีการเข้าถึงตรงเท่าและสิทธิ์ตามความต้องการและไม่มีอะไรเพิ่มเติม

ไม่ว่าจะเป็น "ปลอดภัย" หรือไม่ที่จะเรียกใช้บางสิ่งบางอย่างในฐานะรูทขึ้นอยู่กับสิ่งที่มันทำ ( echo ""> / dev / nullดูเหมือนจะไม่เป็นอันตราย :)) แต่จะปลอดภัยน้อยกว่าเสมอในการใช้งานในฐานะผู้ใช้ที่ไม่ใช่รูท ไม่เคยรู้ว่าเหตุการณ์ใดที่คุณอาจมองข้ามซึ่งบางสิ่งอาจส่งผลกระทบต่อบางสิ่งที่ไม่ควรกระทบ

นี่คือบางสิ่งที่เกิดขึ้นกับฉันหนึ่งครั้งเช่นเดียวกับสิ่งที่ถ้าคุณเขียนคำสั่ง bash ที่เป็นอันตรายลงในไฟล์สคริปต์โดย copypaste ล้มเหลวโดยที่คุณคัดลอกบางส่วนของประวัติทุบตีลงในสคริปต์ (ตัวอย่างเช่นมีrm -rfบางส่วนคำสั่งบนพา ธ สัมพัทธ์แทนที่จะเป็นบรรทัดจากการโพสต์ superuser ด้วยโค้ดตัวอย่าง) ฉันมีความสุขไหมที่ฉันใช้ cronjob นั้นภายใต้ผู้ใช้ที่ถูกต้อง :) ตอนนี้สิ่งที่เกิดขึ้นก็คือการตั้งค่า git ของผู้ใช้หายไป ...

— SadBunny
แหล่งที่มา

สวัสดี SadBunny ใช่ฉันมีสิ่งนี้ด้วย: หายใจออกอย่างโล่งอกเมื่อเห็นสองสามครั้ง: can't remove .. permission deniedในกรณีของฉันที่ส่วนใหญ่เป็นตัวกรองผิดสำหรับคำสั่ง rm แต่ฉันต้องการพิจารณาตัวเลือกอื่น: ทำงานเป็นผู้ใช้ที่มีอยู่ในขณะที่ฉันมีภาวะที่กลืนไม่เข้าคายไม่ออกนี้สำหรับเวิร์กสเตชันอัตโนมัติ คุณช่วยตรวจสอบคำถามที่อัปเดตได้ไหม

— Vsevolod

ผู้ใช้เฉพาะรายนั้นมีความปลอดภัยมากกว่าเดิมเพราะถ้าคุณลืม cronjob 6 เดือนเมื่อคุณเปลี่ยนบางสิ่งในผู้ใช้ปัจจุบันอาจให้สิทธิ์เพิ่มเติมชั่วคราวเปลี่ยนคีย์ ssh หรือ อาจจะลบทิ้งไปเลย ... ความเสี่ยงนั้นน้อยกว่าการใช้รูทแน่นอนดังนั้นหากเป็นตัวเลือกของคุณและคุณรู้สึกว่าผู้ใช้ที่มีความต้องการคุณจะต้องงอไปข้างหลังไกลเกินไป ฉันเห็นว่าตัวเองสามารถประนีประนอมได้แม้ว่าฉันจะไม่บอกใคร :)

— SadBunny