超级会员免费看
提升系统安全:非特权用户与权限管理策略
非特权用户账户
非特权用户账户是指对任何程序或文件都没有特权的用户账户。许多程序以非特权用户身份运行,或者使用非特权用户来执行特定任务,这些非特权用户仅获得执行有限任务所需的权利。
与普通人类用户账户相比,即使是权限最低的人类用户账户,其拥有的权利也比许多程序所需的要多。普通用户通过 shell 访问系统时,通常拥有一个主目录,可在其中创建文件、运行文本编辑器、处理邮件、运行脚本以及编译(但不一定能安装)软件。然而,程序并不需要这些权限。让程序以受限用户身份运行,可以控制软件或入侵者对系统造成的损害程度。
OpenBSD 系统自带了多个非特权用户账户,查看 /etc/passwd 文件,能看到如 sshd 、 named 、 _ntp 等账户,这些都是特定服务器守护进程使用的非特权账户。它们具有以下共同特点:
- 主目录 :非特权用户通常没有普通的主目录,大多数共享 /var/empty 作为主目录。该目录由 root 用户拥有,除了一个日志套接字外没有其他内容。用户无法向此主目录写入数据,虽然这使账户的灵活性降低,但对于大多数服务器守护进程来说已经足够。如果这些用户在系统上拥有文件,文件权限通常也会设置为禁止用户写入。
- 禁止登录 :任何人都不应该使用这些账户登录系统。例如, named 用户账户是为 DNS 子系统预留的,没有必要以该账户登录。非特权用户被分配的
订阅专栏 解锁全文
扫一扫
2870
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
