Vorrei conoscere la differenza tra utente e account di servizio.
So che ad es. Jenkins installato su Ubuntu non è un utente, ma un account di servizio.
- Che cos'è l'utilizzo dell'account di servizio?
- Quando ne abbiamo bisogno?
- Come posso creare un account di servizio?
Risposta accettata:
Gli account utente sono utilizzati da utenti reali, gli account di servizio sono utilizzati da servizi di sistema come server Web, agenti di trasporto della posta, database ecc. Per convenzione, e solo per convenzione, gli account di servizio hanno ID utente nella gamma bassa, ad es. <1000 o giù di lì. Ad eccezione dell'UID 0, gli account di servizio non hanno privilegi speciali. Gli account di servizio possono, e in genere possiedono, risorse specifiche, persino file speciali del dispositivo, ma non hanno privilegi da superutente.
Gli account di servizio possono essere creati come normali account utente (ad es. utilizzando useradd ). Tuttavia, gli account di servizio vengono in genere creati e configurati dal gestore pacchetti al momento dell'installazione del software di servizio. Quindi, anche come amministratore, raramente dovresti occuparti direttamente della creazione di account di servizio.
Per una buona ragione:a differenza degli account utente, gli account di servizio spesso non hanno una shell di accesso "corretta", cioè hanno /usr/sbin/nologin come shell di accesso (o, ai vecchi tempi, /bin/false ). Inoltre, gli account di servizio sono in genere bloccati, ovvero non è possibile effettuare il login (per il tradizionale /etc/passwd e /etc/shadow questo può essere ottenuto impostando l'hash della password su valori arbitrari come * o x ). Questo serve a rafforzare gli account di servizio contro gli abusi (difesa in profondità ).
Avere account di servizio individuali per ogni servizio ha due scopi principali:è una misura di sicurezza per ridurre l'impatto in caso di incidente con un servizio (compartimentazione ), e semplifica l'amministrazione poiché diventa più facile rintracciare quali risorse appartengono a quale servizio. Vedi questa o questa risposta su domande correlate per maggiori dettagli.