Nein da musste Dir keine Sorgen machen. nobody ist der Standarduser für minimale Systemberechtigungen. Der User hat zum Beispiel keine Shell und ist für die Ausführung von Diensten gedacht, die keinen eigenen User mitbringen.
Jeder User hat eine ID-Nummer (Siehe dazu /etc/passwd). Der User Nummer 911 existiert allerdings nur innerhalb eines der Docker Container und taucht auf dem Host System somit als ID auf. Wenn Du in den docker Container reingehst (docker exec -it containername bash) und dort die Prozesse anschaust müsste Dir dort der Name des Users angezeigt werden.
Generell ist Linux ein Multiuser System und verschiedene User sind eine sehr gute Idee, um eine rudimentäre Isolation der einzelnen Dienste zu realisieren. So hat der Webserver ja Standardmäßig den User www-data für den Dienst und all Seine Dateien im Einsatz.
Sicherheitstechnisch ist das erst Mal unbedenklich. Service User haben keine Passwörter gesetzt und können somit via SSH nicht benutzt werden. Ich persönlich setze allerdings um noch Mal sicher zu gehen in der sshd_config ein AllowGroups, erstelle eine sshusers Gruppe und trage da nur die Accounts ein, wo ich explizit wünsche, dasss ein SSH Login möglich ist.
Weitere Tipps zur Systemabsicherung gibts via Foren Suche. 
Sicherheitstechnisch ist das erst Mal unbedenklich. Service User haben keine Passwörter gesetzt und können somit via SSH nicht benutzt werden. Ich persönlich setze allerdings um noch Mal sicher zu gehen in der sshd_config ein AllowGroups, erstelle eine sshusers Gruppe und trage da nur die Accounts ein, wo ich explizit wünsche, dasss ein SSH Login möglich ist.
Weitere Tipps zur Systemabsicherung gibts via Foren Suche
na dann bin ich ja erstmal beruhigt, danke ! ich arbeite ja nur mit root, weil mich dieser "sudo-kram" nervt, habe aber den SSH-Port auf 40000+ geändert und SSH-Login als root nur per Zertifikat.. hoffe das reicht...
Das ist auch keine gutbesuchte Seite / Domain - eher privat , und so soll es auch bleiben..
als root nur per Zertifikat.. hoffe das reicht...
Jo das reicht.
Das ist auch keine gutbesuchte Seite / Domain - eher privat
Das ist egal. Die bösen Jungs und Mädels kommen eh via IP Scan und probieren einfach alle IP Adressen im Internet aus. Jeder Dienst der direkt im Internet hängt muss abgesichert werden. Es ist nur eine frage der Zeit bis versucht wird da rein zu kommen.
Das ist egal. Die bösen Jungs und Mädels kommen eh via IP Scan und probieren einfach alle IP Adressen im Internet aus. Jeder Dienst der direkt im Internet hängt muss abgesichert werden. Es ist nur eine frage der Zeit bis versucht wird da rein zu kommen.
Und auch wenn es sich standardmäßig nicht in den einschlägigen Logdateien widerspiegelt, sind öffentliche Server permanent einer riesigen Anzahl von Abfragen ausgesetzt. Wer sich hierzu einmal einen Überblick verschaffen möchte, dem empfehle ich beispielsweise einen Blick auf psad (basiert auf iptables).
Hay,
selbst mein Gateway-Rechner (dyndns) vom Heimnetzwerk ins böse Netz, bei dem auf der bösen Netzwerkkarte nur ssh und openvpn offen sind, schreibt sekündlich einen loginversuch ins Logfile. Plus dann noch jede Menge Firewall-Einträge von Portscans... 
Als ich das erste Mal 2005 eigene Server ins Internetz gehängt habe, habe ich noch gezittert... das legt sich...
CU, Peter
