web-dev-qa-db-ja.com

Apacheが非特権ユーザーとして実行されるのはなぜですか?

セキュリティ対策としてのApache Webサーバーは、システム特権を放棄し、ネットワーク経由でクライアントを受け入れる前に、通常の非特権ユーザーとして実行されます。私の質問は

  • この対策により、マルウェアが悪用するバグを防止または抑制する方法。
  • このアプローチの背後にあるアイデアは何ですか
8
Ali Ahmad

Www-dataのコンテキストはrootのコンテキストよりもはるかに特権が少ないためです。たとえば、rootユーザーとして、より多くの構成ファイルを変更したり、ユーザーを追加または削除したり、保護されたフォルダーを読み取ったりすることができます。

Www-dataとしてこれを行うことはできないため、攻撃者が攻撃された場合でも、www-dataで利用可能なすべてのリソースとファイルのみを使用できます。これは、攻撃を封じ込めるのに役立ちます(明らかに、エクスプロイトが存在する場合、特権の昇格を停止することはできません)。

8
Lucas Kauffman