引用:
|
作者cmwang
所以重點應該是盡可能提高提供service的程式的安全性,而不是service要不要以root啟動吧----鵝前面不也說了,提供service的程式在啟動完後就會drop privileges了,或是以普通user的身份fork出真正提供service的process了  .... |
我不知道貴公司資安稽核的方式,
但一般來說,無論是不是 root 啟動都無所謂,
最終 daemon 執行時的 owner 不能是 root,
我想資安稽核主要也是針對在執行狀態的 owner。
最後 fork 成 daemon 時,才會 drop privileges。
這關係到 setuid, seteuid 等函式,
我們知道 id 分為 real id, effect id, saved id,
不表示在啟動時的 owner 必須是 root。
只要 effect id 是 root 即可。