如果我们把以下几行添加到sudoers中: Defaults requiretty Defaults:apache !requiretty apache ALL=NOPASSWD: /etc/init.d/httpd graceful 什么是安全影响? 我的理解是:“networking用户”可以正常重启httpd服务器,如果他们可以pipe理注入? 还有其他危险吗?
需要允许用户使用sudo在特定目录下chown文件。 这是诀窍: user1 ALL= NOPASSWD: /bin/chown -[RPfchv] user2\:user2 /opt/some/path/[a-zA-Z0-9]* 但是,并不妨碍用户偷偷摸摸地做这样的事情: [user1 @ rhel〜] sudo / bin / chown -v user2:user2 /opt/some/path/../../../etc/shadow 有什么办法来保护呢? 机器正在运行Linux(红帽)
我如何使用户在Mac OS X上使用dtrace。我正在尝试在Linux上执行strace,我不喜欢使用提升的权限运行应用程序。 UPDATE 好吧,我可以告诉你最好的。 保持恶意应用程序通过debugging破坏系统的唯一方法是。 在单独的控制台中连接到进程 使用sudo两次 以便: sudo dtruss sudo -u myusername potentially_harmful_app 我用这个简短的程序validation了这一点: #include <iostream> #include <unistd.h> int main() { std::cout << "effective euid " << geteuid() << "\n"; } 有关更多信息,请参阅此讨论: http://discussions.apple.com/message.jspa?messageID=6430877
sudo有一个相当奇怪的问题。 基本上,它authentication,但有时只是不启动提供的命令。 例如: liori@marvin:~$ sudo whoami root liori@marvin:~$ sudo whoami root liori@marvin:~$ sudo whoami liori@marvin:~$ sudo whoami liori@marvin:~$ sudo whoami liori@marvin:~$ 我写了一个testing用例来演示这个问题: liori@marvin:~$ sudo whoami; for i in `seq 100`; do echo -n ':' ; sudo whoami ; done ; echo root ::::::::::::root :::::root :::::root :::::::::::root ::::::::::root ::::::::::::::::::::::::::::::::root :::root ::::root ::::root :::root :::root ::root :root […]
可能重复: sudo -i和sudo su有什么区别 – 我知道这两个命令都会导致获得root-shell。 但是有一些差异。 在一些服务器上,例如提示符是不同的: nomike@testerver:~> sudo -i root@testerver:~> logout nomike@testerver:~> sudo su – [root@testerver ~]# 所以我想“.bashrc”“.bash_profile”和“.profile”的处理方式有些不同。 有人调用一个loginshell而另一个不是?
在sudoers文件中添加这个命令是否安全? mike ALL= NOPASSWD:/bin/chown -R www-data\:www-data /var/www 这是我想运行的唯一命令 $mike@ubuntu: sudo chown -R www-data:www-data /var/www 谢谢。
我有一个基于密码的SSH启用的FreeBSD服务器。 我想启用sudo ,但是我不希望潜在的攻击者成为root访问的一个密码。 我目前的解决scheme是使用公共密钥以root身份login(远程密码身份validation已针对root进行禁用),并且我的普通用户不在wheel中,并且未安装sudo 。 在过去,我使用一次性密码进行sudo访问(我可以公开密钥进入系统,但sudo需要一个OTP,并有30分钟的超时时间让我实际上完成工作,而无需重新authentication所有时间)。 这是一个相当大的麻烦,但是,至less与OPIE / S / Key。 使用硬件令牌可能是好的,但在这一点上我没有。 我一直在寻找的东西,可以让我通过代理转发使用SSH公钥validationsudo。 包含在FreeBSD中的pam_ssh似乎没有这样做 – 它只通过查看用户是否可以解密服务器上的私钥来进行身份validation。 我find了pam_ssh_agent_auth ,但是我在其他地方find很less的引用。 现在是0.9,但是我有点犹豫,相信网关根植于一个程序,我找不到很多人实际使用的证据。 所以,我的问题基本上是2: pam_ssh_agent_auth在野外使用和可靠吗? 有没有另一个很好的解决scheme来启用sudo,同时仍然有屏障通过login密码? 我以为有sudo访问和没有密码authentication的第二个帐户,但这也似乎有点麻烦。
我试图sudo一些自定义path中的二进制文件。 当我运行sudo时,这个自定义path被删除,但sudo -E应该保留我的path。 为什么不起作用? $ env | egrep ^ PATH PATH = /家庭/ codemonkey / .nvm / V0.6.1 /斌:在/ usr / local / bin目录:在/ usr / bin中:/ bin中:在/ usr /本地/ GAM ES:在/ usr /游戏 $ sudo env | egrep ^ PATH PATH =在/ usr / local / sbin中:在/ usr / local / bin目录:/ usr / […]
我有Ubuntu 8.04 LTS机器和Windows 2003 AD域。 我已成功设置,我可以使用域名前缀,如“域名+用户名”使用域用户名和密码login。 在login到机器时,首先尝试,但是,由于某种原因,当我尝试sudo我的login用户,它每次尝试sudo时要求密码两次 。 它在第二次之后接受密码,但不是第一次。 有一次或两次,我可能会认为我第一次不断进入错误的传球,但总是会发生什么事情,有什么错误的想法? pam.conf是空的pam.d / sudo只包含common-auth&common-account和 common-auth是: auth sufficient pam_unix.so nullok_secure auth sufficient pam_winbind.so auth requisite pam_deny.so auth required pam_permit.so
我有一个脚本,在用户的主目录中执行几个命令。 这些文件由用户拥有,Apache( www-data组)只具有对其的读取权限。 该脚本需要通过exec()由PHP按需exec() ,并执行一些文件的删除/解压操作,由于Apache没有对目录的写权限,因此失败了。 我试过编辑这样的sudoers文件: www-data ALL=(user) NOPASSWD: /bin/su user -c /home/user/bin/script.sh 但它会提示我input用户的密码 我也试过了 www-data ALL=(root) NOPASSWD: /usr/bin/sudo su user -c /home/user/bin/script.sh 但是提示inputwww-data的sudo密码 如何让这个工作没有密码?