用户帐户由真实用户使用,服务帐户由系统服务(例如Web服务器,邮件传输代理,数据库等)使用。按照惯例,并且只有按照惯例,服务帐户的用户ID范围较小,例如<1000左右。除了UID 0,服务帐户没有任何特殊特权。服务帐户可能而且通常确实拥有特定资源,甚至包括设备专用文件,但它们没有类似于超级用户的特权。
可以像普通用户帐户一样创建服务帐户(例如使用useradd)。但是,服务帐户通常是由软件包管理器在安装服务软件时创建和配置的。因此,即使作为管理员,您也应该很少直接关注服务帐户的创建。
有充分的理由:与用户帐户相反,服务帐户通常没有“适当的”登录外壳,即它们具有/usr/sbin/nologin登录外壳(或以前的状态/bin/false)。此外,服务帐户通常是锁定的,即无法登录(对于传统帐户/etc/passwd,/etc/shadow这可以通过将密码哈希设置为任意值(例如*或x)来实现)。这是为了加强服务帐户以防滥用(纵深防御)。
为每项服务拥有单独的服务帐户有两个主要目的:这是一种安全措施,可减少因一项服务而引起的事件(隔离)的影响,并且由于可以更轻松地查找哪些资源属于哪个服务而简化了管理。 。请参见本或本有关更多详细信息相关的问题的答案。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句