Unicorn と Nginx で Rails 3 アプリケーションを実行しています。現在、Unicorns は root として実行されており、unicorn.rb の次の行によります。
user "www-data"
しかし、すべてのUnicornプロセスをwww-dataとして実行する必要があるかどうか疑問に思っています. それをしても問題はないでしょうか?私はファイル ソケットを使用しているので、ポート (<1024) を開くことは問題になりません。他に知っておくべきことはありますか?
アプリケーションを root として実行しないでください。これにより、アプリケーションにルート権限が付与されます。つまり、誤ってファイルシステムを公開した場合、攻撃者はそれほど努力せずにルート権限を取得できます。
www-data または他の共有ユーザーとして実行することは避けます。代わりに、特定のアプリのユーザーを作成し、独自の権限を付与します。私の場合、1 つのサーバーで複数のアプリケーションを実行しています。これにより、1 つのアプリが侵害された場合に保護レイヤーを追加できます。
ここでは、うまくいかない可能性のあるいくつかのことについてよく読んでいます: https://jhalderm.com/pub/papers/dcvoting-fc12.pdf