将 svn 的 cmnd_alias 添加到 /etc/sudoers 是否存在任何安全问题？

Question

嗯，如果你不对别名做任何事情的话就不会:)

假设你正在为某个 NOPASSWD 条目执行此操作，你可能需要考虑编写 shell 脚本（或某种二进制文件），执行你需要运行的特定 svn 命令，然后为那些这样您就不会允许意外运行您不想运行的 svn 命令。

无论如何，我都会这么做——将白名单设置到相当精细的粒度。除了我所知道的那些非常明显的问题之外，没有其他安全问题。控制用户的人可以运行允许的任何 svn 命令。如果您通过脚本或二进制文件进入白名单，有人可以替换这些脚本或二进制文件以允许任意执行，但此时您的服务器无论如何都是根目录。

Answer 1

嗯，如果你不对别名做任何事情的话就不会:)

假设你正在为某个 NOPASSWD 条目执行此操作，你可能需要考虑编写 shell 脚本（或某种二进制文件），执行你需要运行的特定 svn 命令，然后为那些这样您就不会允许意外运行您不想运行的 svn 命令。

无论如何，我都会这么做——将白名单设置到相当精细的粒度。除了我所知道的那些非常明显的问题之外，没有其他安全问题。控制用户的人可以运行允许的任何 svn 命令。如果您通过脚本或二进制文件进入白名单，有人可以替换这些脚本或二进制文件以允许任意执行，但此时您的服务器无论如何都是根目录。

相关内容