我的系统上有一个普通用户,需要对 具有写访问权限httpd.conf
。如果我的 sudoers 文件中有以下条目:
joe ALL=(ALL) /usr/bin/vim /etc/httpd/confs/httpd.conf
这样做有风险吗?
答案1
最好的办法是改变团体该httpd.conf
文件 ( chgrp some-group .../httpd.conf
),使该文件组可写 ( chmod g+w .../httpd.cond
)。并使其成为joe
该组的成员。
但即便如此,我确信joe
他可以用它来授予自己更多权限,因为记得apache
将其配置解析为root
。只是后来它才更改为www-data
或系统上的 HTTP 用户。
答案2
如果他们使用 sudo 打开该文件然后执行,会发生什么:!/bin/bash
?
我似乎记得你可以在 vim (或 sudo) 中避免这种情况。但值得牢记。
基本上,你想要rvim