Mengapa menjalankan layanan sebagai pengguna sistem?

19

Saya punya pertanyaan umum tentang dunia UNIX.

Saat ini saya menjalankan Ubuntu di rumah dan menginstal Transmisi pada perangkat dan berjalan sebagai dan menyimpan file sebagai pengguna transmisi-debian . Saya bertanya-tanya apakah masuk akal bagi saya untuk mengubahnya ke pengguna saya sendiri, jadi lebih mudah untuk berinteraksi dengan file dan saya tidak perlu sudo ? Mengapa ini merupakan ide yang buruk untuk dilakukan?

ScipioAfricanus
sumber

Jawaban:

40

Alasan utama untuk rekomendasi menjalankan Transmisi sebagai pengguna sistem yang didedikasikan daripada pengguna Anda adalah bahwa, jika perangkat lunak memiliki kerentanan yang memungkinkan eksploitasi yang akan mengekspos file di luar direktori yang dikonfigurasi, maka tidak akan berakhir mengekspos kemungkinan file sensitif dari direktori home Anda, karena Linux sendiri akan mencegah akses semacam itu melalui izin dasar.

Untuk mempermudah mengelola file dalam direktori Transmission dengan pengguna reguler Anda, Anda harus mempertimbangkan untuk menambahkan pengguna Anda ke debian-transmissiongrup, yang merupakan grup yang memiliki file dalam direktori Transmission, dan telah (atau setidaknya seharusnya memiliki) baca / tulis akses ke direktori itu dan file di dalamnya.

The Ubuntu howto menunjukkan perintah ini (sedikit disesuaikan untuk mendapatkan pengguna Anda dari variabel lingkungan):

sudo usermod -a -G debian-transmission "$USER"

(Ingatlah untuk keluar dan masuk lagi setelah berjalan usermod, karena itu tidak akan memengaruhi grup dari setiap proses yang ada.)

Mudah-mudahan ini akan memudahkan Anda mengelola file yang diunduh dengan Transmission, sambil tetap menjalankannya di bawah pengguna sistem khusus, untuk keamanan yang lebih baik.

filbranden
sumber
1
Saya sendiri hanya mengalami masalah yang sama dan telah mempertimbangkan untuk mengubah layanan menjadi pengguna biasa. Ini jauh lebih baik. Terima kasih!
Alko
3
Anda juga dapat tetapi izin default pada direktori, untuk memberi Anda izin, menggunakan setfacl. lihat unix.stackexchange.com/questions/101263/…
ctrl-alt-delor
1
Hei, terima kasih banyak.
ScipioAfricanus