例子
为Prometheus创建service服务:
vim /usr/lib/systemd/system/prometheus.service
在vim里复制如下内容:↓
[Unit]
Description=prometheus
Documentation=https://prometheus.io/
After=network.target
[Service]
Type=simple
User=prometheus
Group=prometheus
ExecStart=/usr/local/prometheus/prometheus --config.file=/usr/local/prometheus/prometheus.yml
Restart=on-failure
[Install]
WantedBy=multi-user.target
编辑完成后需要使service生效:
systemctl daemon-reload
其中User、Group、ExecStart需要注意:
设置 | 描述 |
---|---|
User | 指定运行该服务的用户。在此例中,用户设置为 prometheus ,意味着 Prometheus 服务将以 prometheus 用户的身份运行。 |
Group | 指定运行该服务的组。在此例中,组也设置为 prometheus ,意味着 Prometheus 服务将以 prometheus 组的身份运行。 |
ExecStart | 定义启动服务时要执行的命令。在此例中,执行的命令是 /usr/local/prometheus/prometheus --config.file=/usr/local/prometheus/prometheus.yml ,这意味着当服务启动时,会执行 /usr/local/prometheus/prometheus 这个可执行文件,并传递 --config.file=/usr/local/prometheus/prometheus.yml 这个参数,指定配置文件的路径。 |
并且,这个user和group一般都是无法登录的用户来管理这个服务,使用无法登录的用户和组来管理服务是一种安全最佳实践,这有助于减小安全风险。
以下是为什么一般建议使用非特权用户和组来运行服务,而不是使用 root
用户的原因:
-
最小权限原则: 服务只需要运行所需的最小权限,以减小潜在的攻击面。使用具有最小权限的用户和组可限制服务的访问和权限。
-
限制攻击影响: 如果服务受到攻击并成功被入侵,使用无法登录的用户和组限制了攻击者可以获得的权限。如果使用
root
用户运行服务,攻击者在入侵后可能获得对系统的完全控制。 -
降低错误的影响: 在服务中,有时会存在漏洞或错误,可能导致非预期的行为。使用非特权用户运行服务有助于减小错误的影响范围。
-
提高系统安全性: 使用非特权用户和组有助于提高整个系统的安全性,特别是当服务可能暴露到网络上时。
创建无法登录的用户和组
-
创建无法登录的组:
sudo groupadd -r your_group_name
-r
选项表示创建系统组,通常在/etc/group
中。请将your_group_name
替换为您想要的组名。 -
创建无法登录的用户并将其添加到组:
sudo useradd -r -s /sbin/nologin -g your_group_name your_user_name
-r
选项表示创建系统用户,通常在/etc/passwd
中。-s /sbin/nologin
设置用户的登录 shell 为/sbin/nologin
,这是一个不允许登录的 shell。-g your_group_name
指定用户所属的组。your_user_name
替换为您想要的用户名。
如果您创建的用户是为了运行服务,您可能希望添加
-M
选项,以防止用户的主目录被创建。sudo useradd -r -M -s /sbin/nologin -g your_group_name your_user_name
这样,您就创建了一个无法登录的用户和组。这些用户和组的信息会出现在 /etc/passwd
和 /etc/group
文件中,但由于设置了 /sbin/nologin
作为登录 shell,用户将无法通过登录来访问系统。
另外例子中的Documentation,是 systemd 单元文件中的一个可选项,用于提供关于服务的文档链接。它本身对于服务的运行没有直接影响,仅作为对服务的描述性注释。