Cómo reducir el riesgo de sudo vim -Z (sudo rvim)

2

(Hice la misma pregunta en enlace . Una persona me recomendó usar este sitio web en lugar de superusuario. Espero que esta pregunta sea bastante apropiada. Aquí y puedo obtener información más detallada.)

Aprendí sobre la forma de prevenir los riesgos causados por estas configuraciones:

user_name ALL=(ALL) /usr/bin/vim /etc/httpd/confs/httpd.conf

o

%group_name ALL=(ALL) /usr/bin/vim /etc/httpd/confs/httpd.conf

Si escribo estos scripts en / etc / sudoers, puede ocurrir un daño grave al servidor. He obtenido una opinión que recomienda utilizar vim -Z.

Busqué en Google vim -Z y encontré algunos hechos. Es similar a (lo mismo que?) Rvim. Sin embargo, vim -Z todavía nos permite usar algunos comandos. Para evitar que los usuarios normales ejecuten comandos, debemos agregar varios scripts en .vimrc.

Para ser honesto, no entiendo bien qué comandos no podemos usar en modo restringido. Encontré este sitio web, pero esto solo menciona vim aunque su título es rvim ... enlace

¿Podría decirme qué configuraciones son necesarias para permitir que los usuarios normales usen sudo vim -Z (o sudo rvim) de forma segura?

    
pregunta aob 16.01.2015 - 07:13
fuente

1 respuesta

3

En lugar de ejecutar vim en modo privilegiado y luego mitigar las vulnerabilidades surgidas de él, ¿qué hay de usar los permisos de archivo correctos? Si los permisos simples de UNIX no son suficientes, es posible que desee utilizar ACL.

Dado que los usuarios pueden realizar modificaciones de archivos arbitrarias en vim y no tendrán que usar sudo, no veo ninguna ventaja importante de seguridad o comodidad al usar sudo. (Excepto que los usuarios pueden ser obligados a volver a ingresar la contraseña). Por otro lado, los permisos son simples, el usuario puede elegir su propio editor con cualquier configuración (solo por comodidad, no por seguridad) y está claro que no hay Escollos generales con escalada de permisos. (Sin embargo, depende de los archivos permitidos para editar).

    
respondido por el v6ak 16.01.2015 - 18:54
fuente

Lea otras preguntas en las etiquetas