[Dúvida] Usuário www-data | Linux Onboarding: obtendo e tratando informações do sistema

Na aula foi apresentado que o usuário www-data não pode logar no sistema, pois não tem shell associado:

www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin

O professor, utiliza o comando "su www-data" para tentar fazer acesso no usuário e reforçar isso

Entendi também, que os usuários com ID abaixo de 1000 são usuários não convencionais.

Já na questão, posterior a aula: "Item 05 Diferentes usuários do SO", a afirmação abaixo encontra-se errada

"Usuários de aplicações não devem ter acesso ao shell."

Justificativa da afirmação: É uma boa prática de segurança configurar este tipo de usuário para que tenha uma shell associado.

Minha dúvida é, o usuário www-data é recomendado ter login?

Olá, Joel!

Boa pergunta! No caso do usuário www-data, que é um usuário de sistema utilizado pelo servidor web, ele realmente não é recomendado ter login. Isso porque ele é um usuário de serviço, criado para executar um serviço específico (neste caso, o servidor web) e não para ser usado como um usuário convencional.

A ideia de não permitir o login para este tipo de usuário é uma prática de segurança para evitar que, em caso de uma brecha de segurança no serviço que ele executa, um invasor possa ganhar acesso ao sistema como um todo através deste usuário.

A afirmação "Usuários de aplicações não devem ter acesso ao shell." está correta, pois é uma boa prática de segurança que usuários de aplicações, como o www-data, não tenham acesso ao shell. Se esses usuários tiverem acesso ao shell, eles podem ser usados para executar comandos arbitrários no sistema, gerando um grande risco de segurança.

A justificativa da afirmação parece incorreta. A justificativa correta seria: "É uma boa prática de segurança configurar este tipo de usuário para que NÃO tenha uma shell associado."

Bons estudos!