VIM:“ sudo vim bad_idea” หรือไม่

ผู้ใช้ irc ใน #Vim กระตุ้นให้ฉันไม่ใช้ Sudo กับ Vim เช่น:

sudo vim bad_idea

เมื่อฉันทำสิ่งต่าง ๆ ในสถานที่เช่น / var / www / ฉันไม่สามารถเขียนได้หากไม่มี ดังนั้นการไม่ใช้ sudo จึงกลายเป็นปัญหา แน่นอนฉันสามารถทำการเปลี่ยนแปลงในตำแหน่งที่ตั้งต่าง ๆ เช่น / tmp / แล้วคัดลอก dirs ไปยัง / var / www อย่างไรก็ตามฉันรู้สึกถึงวิธีที่ง่ายขึ้น

1. หากคุณไม่ได้ "sudo Vim" ทำไม?
2. ถ้าใช่กับคำถามที่ 1 คุณจะหลีกเลี่ยงปัญหาที่จะไม่ใช้ sudo ได้อย่างไร

ฉันตกอยู่ภายใต้หมวดหมู่แรก: sudo vim /var/www/html/some_fileเป็นความคิดที่ไม่ดี; มันช่วยให้เชลล์หนีที่ไม่ได้เข้าสู่ระบบ แทนการใช้sudoedit /var/www/html/some_file; ที่มีผลเหมือนกัน

อ้างอิง: /programming/1005/getting-root-permissions-on-a-file-inside-of-vi :

% ถูกแทนที่ด้วยชื่อไฟล์ปัจจุบันดังนั้นคุณสามารถใช้:

: w! sudo tee%

vim อนุญาตให้ผู้ใช้รันคำสั่งเชลล์โดยพลการดังนั้นผู้ดูแลระบบจำนวนมากไม่อนุญาตให้ใช้ vim กับ sudo

rvim รวมอยู่ในกลุ่ม มันเป็นกลุ่มที่ถูก จำกัด ที่ไม่อนุญาตให้ใช้คำสั่งเชลล์ (หรืออนุญาตให้คุณระงับเสียงเรียกเข้าด้วยเหตุผลเดียวกัน)

ไม่ว่าคุณจะต้องไปที่จุดสุดยอดเหล่านั้นในกล่องของคุณเองเป็นที่ถกเถียงกัน

เมื่อแก้ไขไฟล์การกำหนดค่าทั้งระบบมันก็โอเคเลย - แค่จำไว้เสมอว่าคุณรูทและมีพลังทั้งหมดและปล่อยสิทธิพิเศษเหล่านั้นทันทีที่คุณไม่ต้องการมันอีกต่อไป

ในกรณีพิเศษ/var/www/คือหน้าเว็บเซิร์ฟเวอร์คุณอาจต้องการเปลี่ยนความเป็นเจ้าของ / กลุ่ม / สิทธิ์ --- แต่ถ้าขึ้นอยู่กับการตั้งค่าเฉพาะของคุณ (และผู้ใช้คนเดียว / หลายคนเว็บเซิร์ฟเวอร์จริง / เพียงแค่ localhost แบบไดนามิก / คงที่ ฯลฯ )

คำถามเช่นนี้ทำให้ฉันตบหน้าผากของฉัน ฉันอยู่ในอีกด้านหนึ่งของความปลอดภัย "ความปลอดภัยไม่ควรรบกวนประสบการณ์ของผู้ใช้เว้นแต่จะคาดหวังหรือจำเป็นเพื่อป้องกันไม่ให้คนทั่วไปทำกิจกรรมที่เป็นอันตราย"

การป้องกันการใช้เสียงเรียกร้องของ sudo เป็นเพียงตัวช่วยวง ตามที่ระบุไว้ก่อนหน้าบางคนสามารถใช้:

sudo su -

หรือ

sudo /bin/bash

หรือ

sudo nano file

หรือ

sudo my_exectuable_text_editor file

ฯลฯ

หากคุณกังวลเกี่ยวกับคนที่ทำสิ่งที่เป็นอันตรายในกล่องอย่าให้สิทธิ์ sudo (หรือรหัสผ่าน root) อย่างชัดเจนในช่วงเวลา ไม่มีสัญลักษณ์แสดงหัวข้อย่อยเพื่อป้องกันกิจกรรมที่เป็นอันตรายโดยใช้ sudo และคุณจะทำให้คุณคลั่งโดยใช้ "การแก้ไข" ทั้งหมด "เพื่อให้แน่ใจว่าบุคคลไม่สามารถทำสิ่งที่เป็นอันตราย

มีคนพูดถึงการเปลี่ยนความเป็นเจ้าของ / กลุ่ม นี่เป็นปัญหาที่เกิดขึ้นราวกับว่าเว็บเซิร์ฟเวอร์ทำงานเป็นผู้ใช้รายอื่นและคุณเปลี่ยนการอนุญาตในไฟล์ตอนนี้เว็บไซต์ของคุณก็ไม่ทำงาน แน่นอนว่าไม่ช่วยคุณ คุณสามารถเพิ่มตัวคุณเองในกลุ่มที่เว็บเซิร์ฟเวอร์ทำงานได้อย่างไรก็ตามหากกลุ่มไม่มีสิทธิ์ในการเขียนไฟล์คุณจะต้องดำเนินการ chmod -R g + w * (หรือแต่ละไฟล์ chmod) ซึ่งอาจไม่ใช่ สิ่งที่คุณต้องการและสามารถสร้างความยุ่งยากหากคุณต้อง chmod ทุกไฟล์

บางคนแนะนำให้ใช้ rvim ด้วยซ้ำ แน่นอนว่าเราสามารถเพิ่มบรรทัดใน / etc / sudoers เพื่ออนุญาตให้ผู้ใช้บางรายเท่านั้นที่จะ sudo rvim อย่างไรก็ตามมันจะมีเหตุผลว่าถ้าคุณต้องไปเส้นทางนั้นมันอาจจะดีกว่าที่จะใช้ตัวจัดการไฟล์บนเว็บ วิธีนี้ทำงานในฐานะผู้ใช้ที่เว็บเซิร์ฟเวอร์กำลังทำงานอยู่ดังนั้นจึงไม่มีปัญหาการอนุญาตไฟล์และคุณยังสามารถควบคุมได้อย่างละเอียดว่าใครแก้ไขไฟล์ใดบ้าง

สองเซ็นต์ของฉันยังไงก็ตาม

การรันsudo vimจะไม่เปลี่ยน$HOMEไดเรกทอรีดังนั้นคุณจะใช้ Vim ที่มีสิทธิ์รูท แต่$HOMEยังคงชี้ไปที่ผู้ใช้ปกติของคุณ

หากนี่เป็นครั้งแรกที่คุณเรียกใช้ Vim มันอาจเกิดขึ้นได้ว่า~/.viminfoไฟล์นั้นถูกสร้างขึ้นภายในไดเรกทอรีผู้ใช้ปกติของคุณ แต่มีสิทธิ์รูท

หากนี่คือคอมพิวเตอร์ของคุณเอง ... ฉันไม่เห็นเหตุผลที่คุณไม่สามารถใช้ 'sudo vim' ได้นอกจากกรณีขอบที่ Denilson ตั้งข้อสังเกตว่าอาจสร้าง ~ / .viminfo ของคุณเป็นเจ้าของโดย root

ถ้าไม่ใช่ - หากผู้ดูแลระบบกำลัง จำกัด สิ่งที่คุณสามารถทำได้และไม่สามารถทำได้ - ต่อ "man sudo": "ในระบบส่วนใหญ่มันเป็นไปได้ที่จะป้องกันเชลล์หนีด้วยฟังก์ชัน noexec ของ sudo ดูคู่มือ sudoers (5) สำหรับรายละเอียด "

ดังนั้นในกรณีนี้ถ้าดูแลระบบของคุณมีความกังวลเกี่ยวกับศักยภาพของคุณที่ใช้ subshells เป็น root จากภายในกลุ่มพวกเขาสามารถใช้ความสามารถ noexec แต่ ... กลับไปที่กรณีเริ่มต้น - ถ้านี่คือคอมพิวเตอร์ของคุณฉันคิดว่าคุณน่าจะปลอดภัยที่จะใช้ 'sudo vim'

อ้างอิงถึงคำตอบของ balpha เกี่ยวกับกลุ่ม:

Howto: Linux เพิ่มผู้ใช้ไปยังกลุ่ม