我正在使用capistrano来部署rails web应用程序.我想尽可能少地为网络服务器上的部署用户提供权限.除了重启网络服务器之外,我能够以非特权用户的身份做我需要做的一切.
我在ubuntu服务器上这样做,但是这个问题并不是我的用例(rails,capistrano,部署)所特有的,而且我已经看到很多解决这个问题的方法似乎涉及不良的安全实践.想知道其他人是否可以审查我的解决方案并建议它是否安全?
首先,没有必要,但我不知道为什么/etc/init.d/nginx需要其他用户进行任何(甚至读取)访问.如果他们需要阅读它,让它们成为root(通过sudo或其他方式),所以我:
chmod 750 /etc/init.d/nginx
由于所有权是所有者root,组root(或者可以设置为chown root:root /etc/init.d/nginx)只有root,或者用户正常sudo'ed,可以读取,更改或运行/ etc/init .d/nginx,我不打算给我的部署用户任何这样广泛的权利.相反,我只是给部署用户提供特定的sudo权限来运行控制脚本/etc/init.d/nginx.他们将无法运行编辑器来编辑它,因为他们只能执行该脚本.这意味着,如果有人以部署用户的身份访问我的盒子,他们可以重新启动和停止等nginx进程,但是他们不能做更多的事情,比如改变脚本来做很多其他的,邪恶的事情.
具体来说,我这样做:
visudo
visudo是用于编辑sudoers文件的特定工具,您必须具有sudoer权限才能访问它.
使用visudo,我补充说:
# Give deploy the right to control nginx
deploy ALL=NOPASSWD: /etc/init.d/nginx
检查sudo手册页,但据我了解,第一列是给予sudo权限的用户,在本例中为"deploy".ALL提供来自所有类型的终端/登录的部署访问(例如,通过ssh).最后,/ etc/init.d/nginx,ONLY赋予部署用户root权限以运行/etc/init.d/nginx(在这种情况下,NOPASSWD意味着没有密码,这是我无人值守部署所需的) .部署用户无法编辑脚本以使其变得邪恶,他们需要FULL sudo访问才能执行此操作.事实上,没有人可以,除非他们有root权限,在这种情况下,有一个更大的问题.(我测试过用户部署在执行此操作后无法编辑脚本,所以你应该这样做!)
你们有什么感想?这有用吗?有没有更好的方法来做到这一点?我的问题是类似这个和这个,但提供了比我在那里发现,如果对不起它太重复,如果是的话,我会删除它,虽然我也要求不同的方法更多的解释.