【发布时间】:2023-11-26 07:41:01
【问题描述】:
如果我的 linux 机器 (Ubuntu 11.10) 上有十几个用户,那么让每个用户 sudo 访问 apt-get install 有什么安全问题。
我希望我的用户能够安装和使用程序,而不必每次都向我发送电子邮件。但是,apt-get 命令会导致问题吗?如果有,能否提供一些例子。
【问题讨论】:
标签: security installation sudo apt-get
【发布时间】:2023-11-26 07:41:01
【问题描述】:
这在很大程度上取决于您的用户可用的软件存储库。
如果您允许您的用户将他们自己的存储库添加到 /etc/apt/sources.list 或 /etc/apt/sources.list.d/*,那么您已经为他们提供了一个不受限制的 root 帐户。
如果您坚持使用带有默认 Ubuntu 软件包的默认 Ubuntu 存储库,那么您是相当安全的 - 至少,我不知道有任何安装公然不安全的 setuid 程序或公然不安全的守护程序的软件包,并且我希望 Ubuntu 安全团队认真对待任何此类错误。
更新
Ubuntu 提供several different kinds of repositories:
Free software Almost free software Proprietary software
Ubuntu Supported main restricted
Community Supported universe multiverse
Vendor Supported partner
main 和 restricted 中的所有内容都得到了 Ubuntu 安全团队的良好支持和严格审查。 universe 和 multiverse 不包含在 CD/DVD 中,由 Ubuntu 安全团队以尽力而为的方式提供支持(根据我的经验,这非常好,但他们不会提供long-term support 任何一个)。
partner 中的所有内容都是直接从软件供应商那里传递的,没有 Ubuntu 安全团队的任何监督(尽管他们严重依赖不安全产品的供应商)。因为供应商希望保持轻松可用(并且总体上是诚实的),所以他们不会故意做一些愚蠢的事情来危及您的系统安全。
由于是easy to set up your own repository,因此确保不受信任的用户无法将自己的存储库添加到apt 非常重要。
【讨论】:
-
是的,我更多地考虑了 Ubuntu 默认设置。但我不太了解 apt-get 的工作原理。据我了解,它会安装二进制文件。但是谁来决定“官方二进制文件”列表中的内容?是否有 12 个人秘密会面并提出这份名单?
-
感谢您的精彩解释
apt-get 通常是完全无害的。它只能安装和下载文件。
可能发生的最糟糕的事情是有人不小心安装了恶意软件。
【讨论】:
-
sarnold 解决了我的问题,但基本上我想知道谁有权宣传他们的节目?如果我创建了一个程序,当你下载它时
sudo apt-get install puk它基本上发出命令rm -f - r /。这会发生吗? -
这肯定会发生,无论是在安装的程序中还是通过包的安装后脚本。这就是为什么坚持使用知名的流行来源可能是个好主意。
如果您的意思是“用户现在可以以 root 身份运行他们喜欢的任何东西”,那么答案是是——所以这是不安全。
您可以通过多种方式从dpkg 或rpm 运行shell。例如:dpkg 将在配置文件更改发生冲突时提示,其中一个选项是启动 shell 以检查情况。 如果apt-get 是通过sudo 运行的,这将以root 身份启动一个shell。
同样,如果您可以从该工具运行编辑器,因为大多数编辑器允许您在其中运行任意 shell 命令(例如 vi 中的 !command)。
【讨论】: