Nextcloud Snap - Проблема с уязвимостью
Моей компании нужно решение для самостоятельного обмена файлами, и после просмотра веб-страниц я решил перейти на Nextcloud.Чтобы проверить это, я использовал snap, чтобы установить его на сервер Debian 9. Все работает как шарм, и это то, что моя компания ищет в качестве решения.
Однако мой коллега указал мне, что каждая служба nextcloud (автономные демоны привязки Apache, MySQL и т. Д.) Работает от имени пользователя root и что это может вызвать некоторые проблемы с уязвимостями, поскольку классический Apache запускается от имени выделенного пользователя .
Так что мне интересно, подходит ли моментальная установка Nextcloud для производственной среды или мне следует перейти на полную установку вручную.
Спасибо!
Это, кажется, меньше проблемы с пониманием, как Nextcloud работает, это больше о снимках в целом. Снимки обеспечивают свою собственную файловую систему и среду, им не разрешают записать в хост-системе, но они могут читать из нее.
можно думать о них отчасти как изображения докера, но они - все еще часть хост-системы, например, совместно используют ее IP.
сам снимок неизменен, можно смонтировать внешнее устройство хранения данных в снимок хотя, например, сохранить файлы. Конфигурация снимков сама реализована снаружи снимков, и хранилище файлов достигается с монтированием определенных папок в снимках, из которых не может убежать снимок.
Для nextcloud-снимка, см. документацию здесь: https://github.com/nextcloud/nextcloud-snap
, Что все сказанные: Если Вы хотите иметь выполненный в снимке, или самостоятельно зависит от Вашего варианта использования. Вы используете этот определенный сервер только для Nextcloud? Действительно ли это - VM? Какое решение для резервного копирования Вы используете? Как снимки интегрируются в остальную часть Вашей среды?
, Если Вы просто планируете выполнить Nextcloud на том одном VM/server, собственная установка является очевидным выбором, так как снимки просто создают наверху. Если Вы также используете другие снимки на той же машине, снимки могли бы быть путем к, добрался.
Ваши проблемы безопасности не являются действительно причиной выбрать один по другому, хотя, с тех пор снова, снимки являются своей собственной вложенной средой, только данные перезаписываемы. На самом деле я даже утверждал бы, что они увеличивают безопасность, поскольку они также контролируются apparmor.