Názor k článku Web server Nginx bez práv roota s pomocí systemd od Filip Jirsák - Vůbec nemusí jít o cílený útok na konkrétní...

Vůbec nemusí jít o cílený útok na konkrétní instanci. Stačí chyba buffer overflow v OpenSSL, která někde něco přepíše. Vzhledem k tomu, že nginx typicky servíruje jen statické soubory a aplikační kód je v jiném procesu, který může běžet pod jiným uživatelem, radši zpřístupním privátní klíč na disku té části nginxu, která servíruje statické soubory (a která k němu má stejně přístup – pokud se zase nedozvím, že ten kód pod rootem i navazuje TLS a workeru předá jen klíč spojení), než spouštět cokoli (a zejména kód OpenSSL) pod rootem.