Dienste die unter dem Benutzer root laufen müssen ?

[walter12]

Hallo,

ich bin gerade mal am überlegen, welche Dienste eigentlich unter root laufen müssen ?

Muss z.B. ein Interbase-Server, Webmin als root laufen ?

Eure Meinung ist jetzt gefragt ?
Ich will hier keine besonderen Dienst in Vordergrund stellen.

Gruss

[captaincrunch]

Jeder Prozess, der einen Socket <=1024 bindet, muss (mit normalen Unix-Berechtigungen) unter root laufen. webmin hat hier eine Sonderstellung, aber auch nur, weil es tief im System rumpfuschen muss.

[walter12]

Sysweb muss leider auch als root laufen.

[dodolin]

Jeder Prozess, der einen Socket <=1024 bindet, muss (mit normalen Unix-Berechtigungen) unter root laufen.

Er muss als root gestarted werden, kann nach dem Binden des Sockets aber sofort auf eine andere Benutzer-ID wechseln.

Weiterhin benötigen Prozesse Rootrechte, wenn sie die Rechte anderer Benutzer-IDs annehmen möchten, z.B. MTAs, die in Mailboxen für User schreiben wollen. Aber auch hier gibt es ja Architekturansätze wie bei QMail oder Postfix, die die Funktionalität des MTAs aufteilen und dann nur den Delivery-Prozess mit den benötigten erweiterten Rechten ausstatten und nicht den gesamten Dämon.

webmin hat hier eine Sonderstellung, aber auch nur, weil es tief im System rumpfuschen muss.

Jupp, wer Dateien ändern will (z.B. in Konfigurationsdateien in /etc), die nur root schreiben darf oder Dämons neu starten möchte, die unter verschiedensten UIDs laufen, der benötigt auch Rootrechte.

[captaincrunch]

Er muss als root gestarted werden, kann nach dem Binden des Sockets aber sofort auf eine andere Benutzer-ID wechseln.

Richtig: der Prozess kann Privilegien droppen, muss es aber nicht (Stichwort Capabilities, z.B. http://search.linuxsecurity.com/feature ... urity.html )
Nicht umsonst laufen die Masterprozesse des Apachen oder Postfix unter UID 0.