Один сайт на одного юзера, обязательное правило безопасности?

Question

[Shing]

Сервер под vestacp. Сайты принадлежат одному человеку.
На сервере много вордпрессов, могут быть уязвимости, взлом через плагины и т.д.
Если под каждый сайт создается отдельный юзер, это дает больше безопасности?
Не позволит проникнуть заразе на другие сайты?

Или по-умолчанию это ничего не гарантирует?
Просто управлять множеством юзеров сложнее, чем когда несколько юзеров, на них группы сайтов.

Answer 1

[Treal]

Когда отдельный юзер - безопаснее и проще выяснить какой сайт был подвергнут насилию.

Выставить грамотный open_basedir и вырубить safe_mod. (Чтобы дальше определенных категорий не могли шагать через шеллы)

Answer 2

[AntonMZ]

А где создаются пользователи, в vestacp или в системе?
Как между собой ограничены пользователи или они только для управления сайтами в самой vestacp?
Очень размытый вопрос у Вас.

Comments

[Shing]

в Vestacp создаются
у каждого юзера в /home/ свою папка, в ней папка сайта.
при создании юзера создается ftp

файлы заливаются, работы проводятся в основном из под рута, потом просто owner меняется на того которому сайт принадлежит.

кстати есть разница файлы root принадлежат или юзеру какому-то без ssh прав?
если злоумышленник завладеет файлом принадлежащим руту, это усугубляет ситуацию или без разницы?

[AntonMZ]

Отдельная папка уже хорошо =)
А пользователь ограничен ли хождению по папкам соседей?
А сайты все Ваши или нет? Это к вопросу про "файлы заливаются, работы проводятся в основном из под рута, потом просто owner меняется на того которому сайт принадлежит."
Разница есть, усугубит!

[Shing]

не проверял, но скорее всего ограничен, иначе какой смысл был бы.
да, сайты одного пользователя. поэтому конечно удобно логиниться из под рута.

[AntonMZ]

Не факт, ой не факт что ограничены =)
Лучше все равно не использовать рута, заливайте под ограниченным пользователем.

[Назар Мокринский]

Anton Zheltyshev: С правильными chmod он просто не войдет в папки других пользователей, а по серверу ходить - плохо, конечно, но если настроено корректно - это не критическая проблема, прав на запись у него всё равно больше нигде нет, и доступ есть не везде.

[AntonMZ]

chmode не спасет, если я залью шел, а в PHP включены системные функции =)

Answer 3

[АртемЪ]

Если под каждый сайт создается отдельный юзер, это дает больше безопасности?

Да. Но тем не менее, это не является серьезной защитой и никоим образом не гарантирует безопасности. Тут комплексный подход нужен.

Не позволит проникнуть заразе на другие сайты?

Не факт.

Answer 4

[ShamblerR]

При взломе 1 сайта упадут и остлаьные, если твои сайты не взламывают то можешь забить.
Если жер риск есть то однозначно разводить. Я в любом случае развожу сайты на разных юзеов и групп.