Pour les mêmes raisons pour lesquelles chaque démon devrait avoir des droits minimaux. Apache peut s'exécuter en tant que root. Il est conçu pour effectuer une tâche et il ne peut sûrement rien y avoir de mal?
Mais supposons qu'apache ne soit pas exempt de bogues. Des bugs sont découverts de temps en temps. Parfois, il peut même s'agir d'une exécution de code arbitraire ou similaire. Maintenant, apache s'exécutant en tant que root, il peut accéder à tout - par exemple, il peut charger un rootkit dans le noyau et se cacher.
D'un autre côté, écrire un rootkit au niveau utilisateur est très difficile. Il doit remplacer différents programmes (comme ps
) à l'intérieur /home
, ce qui peut éveiller les soupçons en raison de l'espace disque supplémentaire utilisé. Il pourrait ne pas connaître la configuration exacte et oublier d'inclure, par exemple, gnome-system-monitor
donc s'exposer. Il doit couvrir bash
, tcsh
et tout shell que vous utilisez (pour démarrer lui-même). Il devrait fonctionner avec différentes configurations au lieu de remplacer simplement un groupe de rappels.
Considérez qu'il n'y a pas si longtemps, l'exécution de code arbitraire a été découverte dans ... Adobe Reader.
Une autre raison est les erreurs des utilisateurs. Il vaut mieux être averti avant d'effacer le disque entier par une seule commande.
La troisième raison est des coquilles différentes. Le shell racine doit être installé /
au cas où le sauvetage du système devrait être effectué. Les shells des utilisateurs peuvent être installés sur /usr
(par exemple, l'utilisateur peut utiliser zsh).
La quatrième raison est que différents programmes ne fonctionnent pas en tant que root. Ils savent spécifiquement qu'ils ne sont pas censés le faire, vous devrez donc patcher le système.
La cinquième raison est que cela /root
ne devrait pas être sur une partition distincte alors que le /home
peut (et devrait). Avoir /home
des aides séparées pour diverses raisons.
AUSSI : POURQUOI NE PAS UTILISER COMME UTILISATEUR NORMAL. Plus souvent, vous n'avez pas besoin d'avoir des droits root que vous. C'est un très petit coût pour la sécurité.
sudo
je vous suggère de modifier/etc/sudoers
et d'ajouter des commandes en tant que nopasswd (pas toutes), puis dans votre~/.bashrc
(ou fichier d'alias) ajoutezalias
es àsudo command
. Ce n'est probablement pas une bonne idée, mais cela limitera les dommages que vous pouvez faire ou que vous avez causés.