Sangat tepat untuk membatasi kepemilikan file perangkat untuk di-root, karena file-file perangkat menyediakan akses yang relatif tidak terbatas ke perangkat keras. Contoh tempat-tempat di mana akses tidak terbatas ke perangkat keras tidak pantas:
- Akses ke / dev / sda (file perangkat untuk hard disk) menyediakan yang berikut:
- Kemampuan untuk melewati kontrol akses dan audit.
- Kemampuan untuk merusak sistem file.
- Kemampuan untuk mengontrol data pada disk, yang diuraikan dalam ruang kernel untuk pemasangan sistem file.
- Akses ke / dev / dsp (file perangkat yang mewakili mikrofon) dapat memberikan akses ke penyerang untuk mendengarkan percakapan (jarak jauh) yang terjadi di dekat perangkat keras.
- Akses ke perangkat video dapat (dalam perangkat keras yang lebih lama) memungkinkan penyerang merusak tampilan video. Dalam perangkat keras yang lebih baru, dapat digunakan untuk memasak GPU.
Ada alasan lain untuk membatasi akses, tetapi pada dasarnya akses ke perangkat keras dibatasi karena Anda menghargai perangkat keras, karena dunia nyata tempat perangkat keras menyediakan akses lebih bernilai daripada bit, dan karena perangkat keras tersebut sering relatif dipercaya oleh kernel .
Dalam beberapa kasus, sistem dikonfigurasikan sedemikian rupa sehingga akses fisik ke mesin (mis. Masuk ke konsol lokal) berarti Anda mendapatkan akses yang lebih tinggi ke beberapa perangkat (mis. CD reader / writer). Dokumen NSA mungkin menentang konfigurasi itu secara implisit.