Nextcloud Snap -漏洞问题

Question

我的公司需要一个自我托管的文件共享解决方案，在浏览完网络后，我决定使用Nextcloud。为了测试它，我使用了snap在Debian 9服务器上安装它。一切都很有魅力，这也是我的公司正在寻找的解决方案。

然而，我的同事向我指出，每个nextcloud服务( Apache、MySQL等的独立快照守护进程)正在以用户根的身份运行，这可能会导致一些漏洞问题，因为典型的Apache以专用用户的身份运行。

因此，我想知道Nextcloud的snap安装是否适合于生产环境，还是应该进行手动完全安装。

谢谢！

Answer 1

对于理解Nextcloud是如何工作的，这似乎不是什么问题，更多的是关于快照的。Snap提供自己的文件系统和环境，不允许在主机系统上写入，但它们可以从中读取。

你可以把它们想象成对接图像，但它们仍然是主机系统的一部分，例如共享它的IP。

snap本身是不可变的，您可以将外部存储安装到snap中，例如保存文件。快照本身的配置是从快照外部完成的，而文件存储是通过在快照中挂载特定文件夹来实现的，而snap无法突破这些文件夹。

有关下一段云管理单元，请参见这里的文档：https://github.com/nextcloud/nextcloud-snap

所有这些都是这么说的:如果您想让它快速运行或自行运行，则取决于您的用例。您是只为Nextcloud使用这个特定的服务器吗？是VM吗？您使用的是哪种备份解决方案？快照是如何集成到您环境的其他部分的？

如果您只是计划在这一个VM/服务器上运行Nextcloud，那么本机安装是显而易见的选择，因为snaps只会造成开销。如果您也在同一台机器上使用其他快照，则快照可能是获取的方法。

但是，您的安全考虑并不是选择一个而不是另一个的真正理由，因为快照是它们自己的封闭环境，只有数据是可写的。事实上，我甚至会争辩说，它们增加了安全性，因为它们也受到了政府的监视。