鵝今天被考倒了,user端承辦說資安稽核要求service不能以root啟動
....
鵝想到以下幾點....
1:Unix會限制非root user不能bind 1024以下的port,但啟動完會su成一般user或是以一般user的身份fork出實際提供service的process
....
2:不是所有程式都可以改startup的user,再說權限和root一樣大的話,那和直接用root啟動有啥不同
....
3:提供service的程式如果要access user的homedir的話,正常來說都是轉換成那個user的身份執行,而這一點本來就是root的特權,不然就是程式要suid了
....
不過承辦說不管怎麼弄,只要別讓稽核的人看到root就好,請問一下還有啥比較好的說法,可以讓鵝擺脫這個無釐頭的問題啊
....