ไม่มีผู้ใช้ที่สำรองไว้สำหรับ NFS เท่านั้น
Anwers ด้านบนค่อนข้างผิดเพราะพวกเขาคิดว่าnobody
เป็นรหัสผู้ใช้สไตล์ทั่วไป / ไม่ระบุชื่อ / แขก
ใน ID การเข้าถึงแบบไม่ระบุชื่อผู้ใช้สไตล์ผู้เยี่ยมชม / UNIX / Linux ไม่มีอยู่และนี่เป็นคำแนะนำที่ไม่ดี:
- "เป็นเรื่องธรรมดาที่จะเรียกใช้ daemons
nobody
โดยเฉพาะอย่างยิ่งเซิร์ฟเวอร์เพื่อจำกัดความเสียหายที่สามารถทำได้โดยผู้ใช้ที่เป็นอันตรายซึ่งได้รับการควบคุม " เนื่องจากสาเหตุดังต่อไปนี้: " อย่างไรก็ตามประโยชน์ของเทคนิคนี้จะลดลงหากมากกว่า daemon หนึ่งตัวถูกเรียกใช้เช่นนี้เพราะการได้รับการควบคุมจากหนึ่ง daemon จะให้การควบคุมพวกมันทั้งหมด "
- " ตัวอย่างจริงของสิ่งนี้คือ
memcached
(คีย์ - ค่าในหน่วยความจำ / ฐานข้อมูล / สิ่งของ), นั่งอยู่บนคอมพิวเตอร์ของฉันและเซิร์ฟเวอร์ของฉันที่ทำงานภายใต้nobody
บัญชีเพราะเหตุใดเพราะมันไม่จำเป็นต้องมีสิทธิ์ใด ๆ และให้มัน บัญชีที่มีสิทธิ์เข้าถึงเพื่อเขียนไฟล์จะเป็นความเสี่ยงที่ไม่จำเป็น "
nobody
ชื่อผู้ใช้กับผู้ใช้รหัส 65534 ถูกสร้างขึ้นและสงวนไว้สำหรับวัตถุประสงค์เฉพาะและควรจะใช้เพียงเพื่อวัตถุประสงค์ที่: เป็นตัวยึดสำหรับผู้ใช้ "แม็ป" และรหัสผู้ใช้ในการส่งออกต้นไม้ NFS
นั่นคือถ้าทำแผนที่ผู้ใช้ / รหัสคือการติดตั้งสำหรับการส่งออกต้นไม้ NFS, ทุกnobody
ไฟล์ในการส่งออกจะปรากฏเป็นเจ้าของโดย วัตถุประสงค์ของการนี้คือการป้องกันไม่ให้ผู้ใช้ทุกคนในระบบการนำเข้าจากการเข้าถึงไฟล์เหล่านั้น (ยกเว้นกรณีที่พวกเขามีสิทธิ์ "อื่น ๆ") เช่นไม่มีของพวกเขา (ยกเว้นroot
) nobody
สามารถ
ดังนั้นจึงเป็นความคิดที่ดีมากที่จะใช้nobody
สำหรับการใด ๆเพื่อวัตถุประสงค์อื่นเพราะจุดประสงค์ของมันคือการเป็น User ID / ชื่อผู้ใช้สำหรับไฟล์ที่จะต้องไม่สามารถเข้าถึงได้เพื่อใคร
รายการ Wiki นั้นผิดมากเช่นกัน
การปฏิบัติ Unix / Linux คือการสร้างบัญชีใหม่สำหรับแต่ละ "โปรแกรม" หรือประยุกต์ใช้ในพื้นที่ที่ต้องการโดเมนการควบคุมการเข้าถึงที่แยกจากกันและไม่เคยนำมาใช้nobody
นอก NFS