Có rủi ro nào trong việc cấp quyền truy cập sudo cho quản trị viên

1

Tôi có một người dùng bình thường trên hệ thống của mình, người cần có quyền truy cập ghi vào httpd.conf. Nếu tôi có mục sau trong tệp sudoers của mình:

joe ALL=(ALL) /usr/bin/vim /etc/httpd/confs/httpd.conf

Có bất kỳ rủi ro trong việc này?

— Natasha Thapa
nguồn

tôi sẽ không tin người dùng 'bình thường'. một lỗi cú pháp có thể gây ra những rắc rối khủng khiếp. nếu bạn muốn cấp cho anh ta những đặc quyền này, anh ta có lẽ cũng cần phải khởi động lại / tải lại máy chủ.

— Rudolf Mühlbauer

2

Tốt nhất là thay đổi nhóm về điều đó httpd.conf tập tin ( chgrp some-group .../httpd.conf ), làm cho nhóm tập tin có thể ghi ( chmod g+w .../httpd.cond ). Và làm joe một thành viên của nhóm đó.

Nhưng ngay cả khi đó, tôi chắc chắn joe có thể sử dụng điều đó để cấp cho mình nhiều quyền hơn như ghi nhớ apache phân tích cấu hình của nó như là root. Chỉ sau này nó mới thay đổi thành www-data hoặc bất cứ điều gì người dùng HTTP có trên hệ thống của bạn.

— sch
nguồn

1

Điều gì xảy ra nếu họ mở tệp đó bằng sudo và sau đó làm :!/bin/bash ?

Tôi dường như nhớ bạn có thể tránh điều này trong vim (hoặc sudo). Nhưng nó đáng để ghi nhớ.

Ở đây bạn đi: VIM: "sudo vim bad_idea"?

Về cơ bản, bạn muốn rvim

— Sirex
nguồn