У меня есть обычный пользователь в моей системе, который должен иметь доступ для записи на httpd.conf . Если у меня есть следующая запись в моем файле sudoers:
joe ALL=(ALL) /usr/bin/vim /etc/httpd/confs/httpd.conf
Есть ли риск в этом?
2 ответа
2
Лучше всего изменить группу этого файла httpd.conf (chgrp some-group .../httpd.conf), сделать файловую группу доступной для записи (chmod g+w .../httpd.cond). И сделать joe членом этой группы.
Но даже тогда, я уверен, joe мог бы использовать это, чтобы предоставить себе больше прав, так как помните, что apache анализирует свою конфигурацию как root . Только позже это изменится на www-data или любой другой пользователь HTTP в вашей системе.
1
Что произойдет, если они откроют этот файл с помощью sudo, а затем сделают :!/bin/bash ?
Кажется, я помню, что вы можете избежать этого в vim (или sudo). Но это стоит иметь в виду.
Вот, пожалуйста : VIM: "sudo vim bad_idea"?
В основном, вы хотите rvim