可以配置sudo只能执行部分命令。把su排除之外就可以了
1 Like
LTS版本的可以去官网查看更新公告 版本和最新版不对应也可能是安全的
如果能非常精细配置,且有足够信心可以避免配置本身的漏洞导致的安全策略失效,确实可以。
(可能不严谨,有误请斧正)可能出现的漏洞比如禁止su但允许cp,然后用使用sudo cp将su复制重命名,再用sudo 新su来切换root。
要避免这些漏洞,需要深思熟虑、复杂的配置规则以及完备的渗透测试;这样做成本很高,而且并不一定真的安全。
我不是说sudo本身不安全,而是我所见过的大部分案例无法妥善将sudo的安全特性发挥到最大,更多的是用来提效。实践中可能严格的管理制度、堡垒机第三方权限管理和日志记录、尽职的审计、容器化或rootless化实现起来更稳妥。
当然不排除一些特殊情况下sudo是更合适的选择,这里我只是说在我十几年运维和安全管理经验上遇到的多数情况。
差点看成linux.do有重大漏洞了
感谢分享
我承认sudo这是个非常严重的漏洞
但是本小作坊本就是直接root执行, 根 本 影 响 不 到 我
一直用的是sudo ,看到标题Sudo出问题,以为是什么第三方加强版插件叫这个名字