Linux

/etc/sudoers 中的 sudo 命令限制是否安全?

  • September 26, 2011

我嘗試限製備份守護程序的使用者(需要對客戶端電腦的 root 訪問權限),以便它只能使用它需要的一個命令。因此,在 /etc/sudoers 中,我使用

daemonuser  ALL=NOPASSWD: /backup/command --with --args *

我從一位同事那裡聽說,這種方法不再被認為是安全的,但我找不到任何細節。我需要注意哪些安全問題?

這對您來說可能很容易,但為了完整起見:

您必須確保 /backup/command 不受 shell-escapes 和類似字元的影響。一個常見的缺陷是,例如,文件名中存在 ‘\n’,它允許將任意行插入 xargs 輸入和類似的東西。許多備份解決方案沒有採取高度預防措施來保護其輸入,因此您可能需要檢查備份腳本的正確性。

您無需密碼即可授予您的 daemonuser 訪問權限。您應該確保除 root 之外的任何人都沒有對該腳本的寫入權限。除此之外,它應該是相當安全的。您可以隨時向您的同事詢問有關“聽說”的參考。

引用自:https://serverfault.com/questions/315650