Повышение безопасности Linux с помощью специальных групп для базы данных и сервера

300
user3541631

Для повышения безопасности я хочу создать 2 группы:

  1. database_group
    • можно запустить, перезагрузить, остановить сервер Postgresql
    • можно изменить файлы конфигурации Postgresql из / etc
    • не могу удалить, удалить postgresql и связанные пакеты

! Я говорю не о ролях PostgreSQL, а о ролях пользователей Linux.

  1. группа серверов

database_group - может запускать, перезапускать, останавливать сервер Postgresql - не может изменять файлы конфигурации NGINX по умолчанию, но может и т.д. / добавлять локальные файлы - не может удалить, удалить NGINX и связанные пакеты

Я знаю, как добавлять пользователей и группы, знаю на базовом-среднем уровне о разрешениях

Я не знаю, как выбрать между добавлением разрешения sudo для групп для определенных каталогов и простым добавлением разрешения для каждого файла для группы

Идея состоит в том, что разные пользователи имеют разные области доступа, и если пользователь скомпрометирован, затрагивается только определенный раздел.

Я ищу руководство / помощь / примеры от кого-то, кто работает с веб-серверами, как разделить зоны доступа.

То, что я просил выше, не исправлено, если представлены лучшие решения

0
Как насчет создания двух разных пользователей, имеющих ссылки в своих каталогах `/ home / user /` на исполняемые файлы, для которых вы хотите определить права доступа. Таким образом, `/ home / dbuser` будет содержать файлы, которые на самом деле связаны с исполняемыми файлами postgresql. Также, возможно, редактирование файлов sudoers может помочь немного. C0deDaedalus 5 лет назад 0

0 ответов на вопрос

Похожие вопросы