Определите дополнительный размер дерева жесткого звена

Общая идея заключается в том, чтобы процесс запрашивал (и имел) наименьшее количество привилегий, необходимых ему для выполнения своей работы. В качестве примера можно привести веб-серверы, которые подключаются к порту 80 (для этого может потребоваться root), но затем переходят на непривилегированного пользователя системы.

Возможно, вы заметили, что "может потребоваться root", а не "должен иметь root". Традиционно для привязки к порту менее 1024 процессы должны были запускаться с правами root, которые затем менялись. Теперь с возможностями, если они настроены правильно, вам не нужно этого делать. CAP_NET_BIND_SERVICE позволит вам привязаться к порту менее 1024 не от имени root.

Это еще одна итерация "делать то же самое с меньшими затратами". Зачем запускаться от имени root со всеми доступами, которые это дает, если вам нужен только один аспект - привязка портов. Возможности дают вам эту гранулярность.

Разница между запуском демона от имени root или другого пользователя и sudo от имени root незначительна и в целом даст те же результаты.

Для редактирования, административной работы и т.д. большинство людей предпочитают быть "стандартным" пользователем и использовать sudo для этих задач. Невозможность входа в систему под именем root закрывает одну из возможных небезопасных дверей.

Программное обеспечение обычно устанавливается от имени root. Почему? Потому что если ваш веб-сервер может изменять свои двоичные файлы или файлы конфигурации (почему да, apache, я думаю, ваш публично доступный каталог должен быть /etc) - это плохая идея.