1

Я понимаю, что существуют риски безопасности, связанные с установкой pip под sudo , но по разным причинам я хотел бы продолжить установку своих пакетов в site-packages (на OSX 10.9), что в настоящее время требует sudo для работы pip .

Будет ли просто разрешение на запись в site-packages избежать этих проблем? Есть ли новые угрозы безопасности, связанные с этим? Или, возможно, альтернативой является создание нового пользователя, который владеет site-packages , специально для использования с pip?


Обратите внимание, что это не вопрос использования virtualenv, чтобы избежать этой проблемы.

1 ответ1

2

Да, вы открываете себя огромной угрозе безопасности. Многие системные утилиты написаны на Python, который работает с привилегиями root. Если вы даете себе право на запись в системные пакеты сайтов, вы рискуете, что любая программа, работающая под вами (не обязательно программа python), может внедрить вредоносный код в системные пакеты сайтов и получить привилегию root. Если вы создаете другого пользователя специально для владения системными пакетами сайтов, ваш вектор атаки - это только вредоносный файл setup.py. Лучше не трогать системные пакеты сайта, а использовать virtualenv.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .