Daemons running as root have been reviewed and patched to run with lower process capabilities. This reduces the desirability of using these daemons for privilege escalation. Additionally, the shadow file permissions have been changed to 000 and several directories in $PATH have been set to 555 in order to prevent daemons without DAC_OVERRIDE from being able to access the shadow file or write to the $PATH directories.

When someone attacks a system, they normally can not do much unless they can escalate privileges. This feature reduces the number of attack targets that can be used to escalate privileges. If root processes do not have all capabilities, they will be harder to use to subvert the system.

Prozesse die mit der root uid laufen, können dem System schaden, da diese nahezu jede Datei beschreiben können und natürlich auch /etc/shadow file. Wie auch immer, wenn das System gehärtet ist, so dass root DAC_OVERRIDE -fähigkeit verlangt, dann kann nur eine begrenzte Anzahl von Prozessen das System beschädigen. Dieses hat keinen Effekt auf Adminrechte, da diese immer volle Privilegien mit DAC_OVERRIDE haben. Deshalb ist es, selbst bei einem erfolgreichen Angriff auf den root Prozess, ist es nun schwieriger nutzen aus diesem Angriff zu ziehen.

A hardened system would have permissions like: 555 /bin, 555 /lib, 000 /etc/shadow and so on. The current scope is to cover the directories in $PATH variable, library dirs, /boot, and /root. This scheme does not affect SELinux in any way and complements it since capabilities are DAC controls and they have first vote on allowing an access.