Существует веская причина, предполагающая, что httpd (Apache) принадлежит root и принадлежит к корневому серверу также и что существует уязвимость, обнаруженная в самом коде, например, злоумышленник запросил URL, который больше, чем ожидалось, и httpd seg-fault. Теперь этот эксплойт обнаружил корневой доступ, что означает, что он имеет контроль над системой, и, следовательно, злонамеренный пользователь в конечном итоге захватит контроль и создаст хаос на ящике.
Это причина, по которой право собственности на демон httpd не работает никому: никто или apache: apache. Это эффективно превентивная мера для обеспечения того, чтобы никакая эксплойт/уязвимость не обеспечивала доступ root. Представьте себе последствия для безопасности, если это произойдет.
К счастью, теперь, в зависимости от дистрибутива Linux, вариантов BSD (OpenBSD/FreeBSD/NetBSD) или коммерческих Unix-вариантов, демон httpd работает под группой пользователей, которая имеет наименьшие привилегии. И, кроме того, было бы безопасно сказать, что много кода Apache хорошо проверено и стабильно. Около 49% серверов во всех доменах работают с Apache. Microsoft IIS работает в 29% доменов. Это соответствует поисковому сайту Netcraft here.
В другом контексте это показывает, что наличие программы с минимальными привилегиями будет считаться «безопасным» и смягчает любые возможные возможности эксплойтов, уязвимостей.
Кстати, я должен был указать, что это не должно быть на SO, возможно, serverfault.com или superusers.com будет более подходящим сайтом. Теперь, когда я прочитал ответ Мэтью после того, как я разместил свой ... – t0mm13b