Apacheが非特権ユーザーとして実行されるのはなぜですか?
セキュリティ対策としてのApache Webサーバーは、システム特権を放棄し、ネットワーク経由でクライアントを受け入れる前に、通常の非特権ユーザーとして実行されます。私の質問は
- この対策により、マルウェアが悪用するバグを防止または抑制する方法。
- このアプローチの背後にあるアイデアは何ですか
Www-dataのコンテキストはrootのコンテキストよりもはるかに特権が少ないためです。たとえば、rootユーザーとして、より多くの構成ファイルを変更したり、ユーザーを追加または削除したり、保護されたフォルダーを読み取ったりすることができます。
Www-dataとしてこれを行うことはできないため、攻撃者が攻撃された場合でも、www-dataで利用可能なすべてのリソースとファイルのみを使用できます。これは、攻撃を封じ込めるのに役立ちます(明らかに、エクスプロイトが存在する場合、特権の昇格を停止することはできません)。