Учетные записи пользователей используются реальными пользователями, учетные записи служб используются системными службами, такими как веб-серверы, почтовые транспортные агенты, базы данных и т. Д. По соглашению, и только по соглашению, учетные записи служб имеют идентификаторы пользователей в низком диапазоне , например
Учетные записи служб могут быть созданы как учетные записи обычных пользователей (например, с помощью useradd
). Однако учетные записи служб обычно создаются и настраиваются диспетчером пакетов при установке служебного программного обеспечения. Таким образом, даже в качестве администратора вам редко следует напрямую заниматься созданием учетных записей служб.
По уважительной причине: в отличие от учетных записей пользователей, служебные учетные записи часто не имеют «надлежащей» оболочки входа, т.е. у них есть / usr / sbin / nologin
в качестве оболочки входа (или, обратно в старые времена, / bin / false
). Более того, учетные записи служб обычно заблокированы, т.е. невозможно войти в систему (для традиционных / etc / passwd
и / etc / shadow
это может быть достигнуто путем установки хэша пароля на произвольный такие значения, как *
или x
). Это необходимо для защиты учетных записей служб от злоупотреблений ( глубокая защита ).
Наличие индивидуальных учетных записей для каждой службы служит двум основным целям: это мера безопасности для уменьшения воздействия в случае инцидента с одной службой ( разделение ), и она упрощает администрирование, поскольку становится проще. чтобы отследить, какие ресурсы какому сервису принадлежат. См. это или это ответы на связанные вопросы для получения более подробной информации.