Estou convertendo do centOS e estou acostumado a ter um usuário ninguém: ninguém: grupo para executar serviços. O Ubuntu tem uma combinação de usuário: grupo de práticas recomendadas semelhante para executar um serviço?
Você pode usar nobody: nogroup se você realmente deseja um usuário / grupo sem permissões. Mas os derivados Debian tendem a definir um usuário e / ou grupo por tarefa para garantir que seus serviços não privilegiados sejam separados um do outro .
O Ubuntu tem um nobody
usuário e um nogroup
grupo, acho que eles podem ser usados de forma equivalente, se você quiser.
Ter todos (ou a maioria) dos serviços em execução no mesmo usuário anula parte do objetivo de usar um usuário não privilegiado; portanto, acho que a melhor prática recomendada é que cada serviço tenha seu próprio usuário (por exemplo, o apache é executado como www-data, acho que o exim4 terá um usuário exim4, spamassassin terá um usuário com spam (eu acho!) e assim por diante) . Quando você instala um serviço, ele cria esse usuário para você. Às vezes, gerenciar permissões para garantir que os serviços possam conversar entre si pode ser um pouco complicado, mas essas instâncias geralmente são bem documentadas e a segurança e a compartimentação adicionadas valem o aborrecimento (menor).
Não deve ser ninguém: nogroup, mesmo que alguns servidores ainda reconheçam corretamente o unix padrão "ninguém: ninguém".