В выводе awk есть дополнительные символы возврата каретки и буферизация.

Если бы ~root был доступен для записи, любой пользователь мог бы добавить свой SSH-ключ в ~root/.ssh/authorized_keys, а затем получить root-доступ просто через ssh root@ какой-то хост.

Если ~root «просто» доступен для чтения, у вас все еще есть доступ к файлу .bash_history пользователя root, который может содержать пароли или другие учетные данные, введенные на командная строка. Или случайно ввели или вставили в командную строку.

Конечно, вы не должны передавать защищенные данные в командной строке, но это предупреждение обычно считается малоопасным, потому что ловить его во время передачи опасно, а другие пользователи не должны иметь возможности прочитать ваши данные. переменные окружения в любом случае. Если у вас есть доступ к файлу .bash_history пользователя root, вы имеете доступ ко всем конфиденциальным данным, которые root могли когда-либо вводить таким образом, случайно или нет.

Конечно, для этих проблем есть решения, такие как запрет root на вход в SSH, даже с авторизацией по ключу. Или отключить историю оболочки. Или быть прилежным о очистке его. Но это устранения; они являются слоями луковицы безопасности.

Наличие ~root равным 0700 является еще одним уровнем безопасности. Если не хочешь плакать, не чисти луковицу больше, чем нужно.