Làm thế nào an toàn để sử dụng một tệp `_vimrc` hoặc` vimscript` không xác định?

Tôi không biết câu hỏi này có nên được hỏi ở đây hay không. Trong hầu hết mọi ngôn ngữ, phần mềm độc hại tồn tại. Là giống nhau cũng được áp dụng cho vimscript?

Giả sử vimđang chạy với các đặc quyền hệ thống cao. Có khả năng nào một vimngười dùng mới có thể phá hỏng hệ thống của anh ấy / cô ấy bằng cách sử dụng một plugin hoặc vimrctập tin đẹp mắt (nghĩa là cái gọi là tập lệnh độc hại trong các ngôn ngữ kịch bản lệnh khác) không?

Các biện pháp mà người dùng mới có thể quan tâm trước khi chạy các tệp script không xác định là gì? Tôi biết rằng vô hiệu hóa các tập lệnh là một giải pháp rõ ràng cho điều đó. Nhưng có một số plugin thực sự tốt, khá hữu ích, ngay cả đối với những người mới học.

Một lần nữa để nói, câu hỏi này có thể không phù hợp ở đây, nhưng tôi tin rằng bảo mật cũng là một phần rất quan trọng của toàn bộ bức tranh.

Chỉ vào một số tài nguyên hoặc thông tin liên quan đến việc này sẽ rất hữu ích cho những vimngười dùng mới như tôi.

Chà, Vim có thể thực thi các lệnh tùy ý với :!. Nó có thể đặt các biến môi trường. Do đó, các tập lệnh phần mềm độc hại là tập lệnh shell có thể được chạy từ Vimscript.

Nó có thể sử dụng các chương trình Perl, Python, Ruby hoặc Lua phức tạp. Vì vậy, phần mềm độc hại được viết bằng bất kỳ thứ nào trong số này chỉ sử dụng các thư viện chuẩn có thể được nhúng trong Vim.

Ngay cả khi cả hai điều này đều không đúng, Vim là một biên tập viên. Nếu chạy dưới quyền root, chúng tôi có thể dễ dàng chỉnh sửa tệp /etc/passwdvà /etc/shadowtệp của bạn để tạo người dùng mới và /etc/sudoerscấp cho họ các sudođặc quyền hoàn chỉnh và cronjobđể chạy các tập lệnh shell để thiết lập người dùng này.

Như với việc thực thi các tập lệnh ngẫu nhiên trên internet, không có cách nào dễ dàng để an toàn. Trong Linux, bạn có thể chạy trong máy ảo với lớp phủ có thể cho bạn biết các tệp mà vimrc đã sửa đổi. Nó phụ thuộc vào mức độ rủi ro mà bạn nhận thấy.

Mở rộng câu trả lời của muru, bạn có thể kiểm tra mã, đặc biệt là mã plugin thường rất ngắn (ngoại lệ là một số plugin phổ biến, nhưng bằng cách phổ biến, chúng an toàn hơn - bạn có thể mong đợi rằng nhiều người khác đã xem xét nguồn).

Bạn không cần phải hiểu đầy đủ về mã; nó sẽ đủ để tìm kiếm các lệnh "nguy hiểm":

1. :!và system(): cho phép thực thi các lệnh shell, do đó có thể thay đổi hệ thống của bạn
2. :perldo, :python, :lua, :tcl, Và :ruby: thực hiện các lệnh trên ngôn ngữ khác nhau, trong đó có thể chứa các cuộc gọi hệ thống nhúng
3. :execute: lệnh này thực thi một chuỗi dưới dạng một lệnh, vì vậy nó có thể được sử dụng để che giấu một trong các lệnh trước đó (ví dụ: để làm cho khó phát hiện hơn call system('malware')hoặc perldo malware, ai đó có thể nối chuỗi thành một biến)
4. function("MyFunc"): tham chiếu hàm gọi - chấp nhận một biến làm tham số, do đó cho phép che giấu system()

Bạn cũng có thể thử chạy một số chức năng plugin bằng cách sử dụng 'secure'hoặc sandboxđể phát hiện shell và ngôn ngữ bên ngoài (perl, python, v.v.).