Создание пользователя для служб

---------------------------------------------------------------------------

ЗАМЕЧАНИЕ ПО ПАРОЛЯМ:

Согласно манов adduser/addgroup при указании параметра "--disabled-password" пользователь может войсти в систему без пароля. Если есть ключи пользователя, то у пользователя остается возможность войти в систему только по ключам (мы их будем генерировать), и опять же эти ключи должны быть также без пароля (т.е. авторизация только по ключу без пароля). Подробнее: читаейте маны

---------------------------------------------------------------------------

Часто возникает задача запуска служб (демонов) с ограничением прав доступа к ресурсам сервера.

Чтобы демон имел доступ только к тем ресурсам сервера, которые ему разрешены, его нужно запускать от имени непривилигированного пользователя.

Для этого создается пользователь (от имени которого будет работать служба) с нужным набором парав согласно таких требований:

Требования к пользователю, от имени которого работает служба

набор прав соотвествует обычному непривилигированнму пользователю
в качестве домашнего каталога указать основную папку, куда устанавливается служба
настроить sudo для пользователя так, чтобы в своей папке он мог всё, а для доступа к остальному - базовое поведение sudo
при создании пользователя отключить создание пароля (т.е. у пользователя - пустой пароль), чтобы не париться с паролем во установки/настройки/обновлении/реконфигурировании службы.
чтобы никакой "му-ак" не зашел на серевер от имени этого пользователя (в частности SSH) генерируем ключи для него и настраиваем сервер OpenSSH для входа по ключам без пароля.

ЗАМЕЧАНИЕ ПО ПАРОЛЯМ:

Сделать бесплатный сайт с uCoz