Come ridurre il rischio di sudo vim -Z (sudo rvim)

2

(Ho fatto la stessa domanda sul link Una persona mi ha raccomandato di usare questo sito web invece di un superutente. Spero che questa domanda sia abbastanza appropriata qui e posso ottenere informazioni più dettagliate.)

Ho imparato a conoscere il modo di prevenire i rischi causati da queste configurazioni:

user_name ALL=(ALL) /usr/bin/vim /etc/httpd/confs/httpd.conf

o

%group_name ALL=(ALL) /usr/bin/vim /etc/httpd/confs/httpd.conf

Se scrivo questi script in / etc / sudoers, può accadere un grave danno al server. Ho ottenuto un parere che mi consiglia di usare vim -Z.

Ho cercato su Google-Z e ho trovato alcuni fatti. È simile a (lo stesso di?) Rvim. Tuttavia, vim -Z ci consente ancora di usare alcuni comandi. Per impedire agli utenti normali di eseguire comandi, dobbiamo aggiungere diversi script in .vimrc.

Per essere onesti, non capisco completamente quali comandi non possiamo usare in modalità limitata. Ho trovato questo sito web, ma questo solo menziona vim anche se il suo titolo è rvim ... link

Potresti dirmi quali sono le impostazioni necessarie per consentire ai normali utenti di utilizzare sudo vim -Z (o sudo rvim) in modo sicuro.

    
posta aob 16.01.2015 - 07:13
fonte

1 risposta

3

Invece di eseguire il vim in modalità privilegiata e quindi mitigare le vulnerabilità che ne derivano, che ne è dell'utilizzo di autorizzazioni file corrette? Se le normali autorizzazioni UNIX non sono sufficienti, potresti voler utilizzare ACL.

Poiché gli utenti possono apportare modifiche arbitrarie ai file in vim e non dovranno usare sudo, non vedo alcun vantaggio importante per la sicurezza o il comfort dell'utilizzo di sudo. (Tranne che gli utenti possono essere costretti a reinserire la password.) D'altra parte, le autorizzazioni sono semplici, l'utente può scegliere il proprio editor con qualsiasi impostazione (solo per comodità, non per sicurezza) ed è chiaro che non ci sono insidie generali con l'escalation dei permessi. (Dipende, tuttavia, dai file consentiti ti modifica.)

    
risposta data 16.01.2015 - 18:54
fonte

Leggi altre domande sui tag