Bem, temos um gerenciador de servidores interno (como o Webmin, apenas mais específico), composto por vários programas CGI CGI e scripts CGI Perl, alguns dos quais requerem privilégios de administrador (adicionar usuários do sistema, gerenciar senhas, lidar com email filas, etc.) a serem executadas.
Atualmente, o Apache funciona como um proxy reverso e passa solicitações para outro servidor da Web (Xitami) que ouve no localhost, sendo executado como root.
Então, minha pergunta é que, em vez de rodar um servidor web como root (mesmo no 127.0.0.1), é diferente de fazer uma raiz setuid nos diretórios / programas / scripts cgi específicos que absolutamente requerem privilégios de root executar ? Ou ambos são igualmente inseguros? Qual poderia ser a melhor solução / prática possível neste cenário?
É melhor setuid root apenas as CGI que precisam desse acesso, em vez de executar o servidor da web inteiro como root.
Melhor ainda seria usar o SELinux ou o RBAC (ou mecanismo similar, você não especificou qual plataforma está usando) para que as operações privilegiadas não precisem realmente de root.