Per gli stessi motivi per cui ogni demone dovrebbe avere diritti minimi. Apache può essere eseguito come root. È progettato per eseguire un compito e sicuramente non può succedere nulla di male?
Ma supponiamo che apache non sia privo di bug. I bug vengono scoperti di volta in volta. A volte può anche essere l'esecuzione di codice arbitrario o simile. Ora con apache in esecuzione come root, può accedere a qualsiasi cosa, ad esempio può caricare un rootkit nel kernel e nascondersi.
D'altra parte, scrivere un rootkit a livello di utente è molto difficile. Deve sovrascrivere diversi programmi (come ps
) all'interno /home
, il che può sollevare sospetti a causa dello spazio su disco aggiuntivo utilizzato. Potrebbe non conoscere l'esatta configurazione e dimenticare di includere, ad esempio, gnome-system-monitor
esponendosi. Essa deve coprire bash
, tcsh
e qualsiasi shell vi capita di utilizzare (per iniziare a se stesso). Dovrebbe funzionare con configurazioni diverse invece di "semplicemente" sovrascrivere un gruppo di callback.
Considera che non molto tempo fa è stata scoperta l'esecuzione di codice arbitrario in ... Adobe Reader.
L'altro motivo sono gli errori dell'utente. È meglio essere avvisati prima di cancellare l'intero disco con un comando.
La terza ragione sono diverse conchiglie. La shell di root dovrebbe essere installata /
nel caso in cui fosse necessario eseguire il ripristino del sistema. Le shell degli utenti possono essere installate su /usr
(ad esempio l'utente può usare zsh).
La ragione principale è che programmi diversi non funzionano come root. Sanno specificamente che non dovrebbero, quindi è necessario patch di sistema.
La quinta ragione è che /root
non dovrebbe essere su una partizione separata mentre /home
può (e dovrebbe). Avere /home
aiuti separati per vari motivi.
ANCHE : PERCHÉ NON UTILIZZARLO COME UTENTE NORMALE. Più spesso non è necessario disporre dei diritti di root rispetto a quelli necessari. È un costo molto basso per la sicurezza.
sudo
ti suggerisco di modificare/etc/sudoers
e aggiungere alcuni comandi come nopasswd (non tutti), quindi nel tuo~/.bashrc
(o alias file) aggiungialias
essudo command
. Probabilmente questa non è ancora una buona idea, ma limiterà il danno che puoi fare o che ti è stato fatto.