Общая идея заключается в том, чтобы процесс запрашивал (и имел) наименьшее количество привилегий, необходимых ему для выполнения своей работы. В качестве примера можно привести веб-серверы, которые подключаются к порту 80 (для этого может потребоваться root), но затем переходят на непривилегированного пользователя системы.
Возможно, вы заметили, что "может потребоваться root", а не "должен иметь root". Традиционно для привязки к порту менее 1024 процессы должны были запускаться с правами root, которые затем менялись. Теперь с возможностями, если они настроены правильно, вам не нужно этого делать. CAP_NET_BIND_SERVICE позволит вам привязаться к порту менее 1024 не от имени root.
Это еще одна итерация "делать то же самое с меньшими затратами". Зачем запускаться от имени root со всеми доступами, которые это дает, если вам нужен только один аспект - привязка портов. Возможности дают вам эту гранулярность.
Разница между запуском демона от имени root или другого пользователя и sudo от имени root незначительна и в целом даст те же результаты.
Для редактирования, административной работы и т.д. большинство людей предпочитают быть "стандартным" пользователем и использовать sudo для этих задач. Невозможность входа в систему под именем root закрывает одну из возможных небезопасных дверей.
Программное обеспечение обычно устанавливается от имени root. Почему? Потому что если ваш веб-сервер может изменять свои двоичные файлы или файлы конфигурации (почему да, apache, я думаю, ваш публично доступный каталог должен быть /etc) - это плохая идея.
После некоторых экспериментов оказалось, что du
более «умный», чем я ожидал.
Если вы зададите ему два дерева в качестве аргументов, то он отобразит размер второго дерева относительно первого:
du -sh backup-Jan backup-Feb
242G backup-Jan
24G backup-Feb
Где, если вы просто дадите ему второе дерево, оно покажет весь размер:
du -sh backup-Feb
245G backup-Feb
И если вы зададите аргументы в обратном порядке, он сделает ожидаемое и покажет полный размер для более новой резервной копии и относительный размер для более старой резервной копии
du -sh backup-Feb backup-Jan
245G backup-Feb
21G backup-Jan
Я предполагал, что найти ответ будет намного сложнее!