Názor k článku Web server Nginx bez práv roota s pomocí systemd od Miroslav Šilhavý - @Filip Jirsák O tomhle by se dala vést sáhodlouhá...

@Filip Jirsák

O tomhle by se dala vést sáhodlouhá diskuse. Protože to už je o poměřování rizik a jejich dopadů. OpenSSL chyby obsahovat samozřejmě může, stejně jako hlavní proces nginxu. Otázkou, kterou bych si kladl je, jestli při ručním přenastavení práv k logům, přenastavení logrotate, přístupu ke klíčům etc. nemůžete udělat sérii dalších chyb (nemluvě o tom, že takové přenastavení může vyvolat kaskádu minoritních problémů, které zase budete řešit custom úpravami v jiných částech systému).

Takže tu proti sobě stojí:
a) výchozí nastavení, poměrně dobře zkoumané a provozované, laděné + riziko 0day zranitelností
b) ruční nastavení, se snížením rizika 0day zranitelností, ale se zvýšením rizika udělání jiné chyby, kterou ale můžete zjistit jen Vy sám (nedá se předpokládat, že stejné custom řešení zvolí moc lidí, každý už si to udělá po svém).

Takovou situaci bych spíš řešil předřazením reverzní proxy na jiném serveru, případně v jailu, který by se staral o SSL offloading. Na něm už můžete zvolit libovolnou z obou dobrých variant. Rizika nesnížíte, ale odstraníte 90 % dopadů.