授予 webadmin sudo 访问权限是否存在风险

授予 webadmin sudo 访问权限是否存在风险

我的系统上有一个普通用户,需要对 具有写访问权限httpd.conf。如果我的 sudoers 文件中有以下条目:

joe ALL=(ALL) /usr/bin/vim /etc/httpd/confs/httpd.conf

这样做有风险吗?

答案1

最好的办法是改变团体httpd.conf文件 ( chgrp some-group .../httpd.conf),使该文件组可写 ( chmod g+w .../httpd.cond)。并使其成为joe该组的成员。

但即便如此,我确信joe他可以用它来授予自己更多权限,因为记得apache将其配置解析为root。只是后来它才更改为www-data或系统上的 HTTP 用户。

答案2

如果他们使用 sudo 打开该文件然后执行,会发生什么:!/bin/bash

我似乎记得你可以在 vim (或 sudo) 中避免这种情况。但值得牢记。

干得好:VIM:“sudo vim bad_idea”?

基本上,你想要rvim

相关内容