将 svn 的 cmnd_alias 添加到 /etc/sudoers 是否存在任何安全问题?

将 svn 的 cmnd_alias 添加到 /etc/sudoers 是否存在任何安全问题?

将 svn 的 cmnd_alias 添加到 /etc/sudoers 是否存在任何安全问题?

答案1

嗯,如果你不对别名做任何事情的话就不会:)

假设你正在为某个 NOPASSWD 条目执行此操作,你可能需要考虑编写 shell 脚本(或某种二进制文件),执行你需要运行的特定 svn 命令,然后为那些这样您就不会允许意外运行您不想运行的 svn 命令。

无论如何,我都会这么做——将白名单设置到相当精细的粒度。除了我所知道的那些非常明显的问题之外,没有其他安全问题。控制用户的人可以运行允许的任何 svn 命令。如果您通过脚本或二进制文件进入白名单,有人可以替换这些脚本或二进制文件以允许任意执行,但此时您的服务器无论如何都是根目录。

相关内容