Создание новой группы/пользователя для нового установленного демона улучшает безопасность. Когда серверный процесс выполняется при таком пользователе, он ограничивается правами доступа того пользователя. В сравнении: когда это выполняется как корень, это может сделать все.
Это различие важно в случае, если Ваш демон неправильно конфигурируется и/или содержит связанную с безопасностью ошибку.
Я не уверен, о чем Вы имеете в виду со второй частью Вашего вопроса, т.е. частью /usr/local
владение. В целом это не имеет смысла что тот же пользователь X
под которым демон работает за соображениями безопасности, также владеет каталогом с двоичными файлами (потому что в этом случае он мог изменить их в случае использования). Но каталог с файлами данных, демон продолжает работать, должен быть доступным X
- самый легкий способ настроить это состоит в том, чтобы сделать X
владелец каталогов/файлов данных.
Выполнение демона при его собственном специальном пользователе является всего одним методом безопасности, другие включают своего рода 'chrooting' или использующий систему мандатного управления доступом (MAC) (например, SELinux).
По моему опыту, самый простой способ передать параметры среды состоит в том, чтобы скопировать пользовательскую оптовую торговлю каталогами конфигурации, переименовав существующие каталоги сначала. В случае XFCE, который был бы ~/.config/xfce4
. Могут также быть необходимые файлы в ~/.local
. Обязательно установите любое необходимое программное обеспечение прежде, чем скопировать конфигурацию.