Я запускаю приложение Rails 3 с Unicorn и Nginx. В настоящее время Unicorns работает от имени пользователя root и благодаря этой строке в unicorn.rb:
user "www-data"
но мне интересно, должен ли я просто запускать весь процесс Unicorn как www-data. Не будет ли проблем с этим? Я использую файловый сокет, поэтому открытие порта (‹1024) не будет проблемой. Что-нибудь еще, о чем я должен знать?
Вы не должны запускать свое приложение как root. Это дает приложению root-права, что, в свою очередь, означает, что если вы совершите ошибку и откроете файловую систему, злоумышленник может получить root-права без особых усилий.
Я избегаю работы с www-data или другими общими пользователями. Вместо этого я создаю пользователя для конкретного приложения и даю ему собственные уникальные разрешения. В моем случае я запускаю несколько приложений на одном сервере, и это обеспечивает дополнительный уровень защиты в случае взлома одного приложения.
Вот хорошее чтение о некоторых вещах, которые могут пойти не так: https://jhalderm.com/pub/papers/dcvoting-fc12.pdf
