Ошибка по умолчанию
- Один пользователь = всё
- Сервисы работают от root
Безопасная модель
| Компонент | Пользователь |
|---|---|
| nginx | www-data |
| postgres | postgres |
| backup | backup |
| monitoring | monitor |
Почему это важно
- Взлом одного сервиса ≠ взлом всей системы
- Ограничение lateral movement
Практика
nologinдля сервисных пользователей- Нет shell
- Нет home, если не нужен
useradd -r -s /usr/sbin/nologin myservice