เป็นกลุ่มที่ปลอดภัยที่จะใช้ร่วมกับ sudo?

ไม่แนะนำให้ใช้sudoกับแอปพลิเคชันกราฟิกเช่นgeditที่อธิบายไว้ที่ลิงค์นี้ ดังนั้นข้าพเจ้าจึงมีแนวโน้มที่จะใช้กับvimsudo

เมื่อเร็ว ๆ นี้ผมสังเกตเห็นฉัน~/.viminfoเป็นเจ้าของโดย root บนค่อนข้างสดติดตั้งUbuntu 16.04 (Xenial Xerus) ดังนั้นจึงมีฉันสงสัยว่าถ้าเป็นกลุ่มแม้จะถือเป็นกราฟิกหรือถ้ามีบางปัญหาอื่น ๆ sudo vimที่มีกล่าวอ้าง หลังจากเปลี่ยนความเป็นเจ้าของให้กับตัวเองผ่าน:

sudo find $HOME -not -user $USER -exec chown $USER:$(id -g) {} +

และหลังจากนั้นsudo vimฉันก็ไม่สามารถ~/.viminfo เป็นเจ้าของโดยรูทได้ อย่างไรก็ตามฉันมั่นใจว่าเมื่อเร็ว ๆ นี้มันเป็นของ root

มันไม่สมควรที่จะเรียกsudo vim?

ใช่มันปลอดภัย

ปัญหาsudo geditคือเนื่องจากแอปพลิเคชัน GUI ใช้ไฟล์บางไฟล์เช่น~/.cache/dconfและหลังจากยกระดับgeditไฟล์นั้นจะกลายเป็นเจ้าของรูท ไฟล์นั้นมีการตั้งค่าเฉพาะผู้ใช้สำหรับแอปพลิเคชัน GUI รวมถึงเดสก์ท็อปดังนั้นหากระบบไม่สามารถอ่านการตั้งค่าเหล่านั้นได้ - มันแย่ IIRC ผู้ใช้ไม่สามารถเริ่มเดสก์ท็อปที่เฉพาะเจาะจงได้ ข้อมูลไฟล์ล่าสุดของผู้ใช้recently-used.xbelยังได้รับผลกระทบ

ในอีกด้านหนึ่งกลุ่มไม่มีปัญหานั้น มันไม่ใช้ฐานข้อมูลที่เกี่ยวข้องกับ GUI recently-used.xbelและไม่ใส่อะไรลงไป มันถูกสร้างขึ้นเพื่อวัตถุประสงค์เฉพาะคอนโซลแม้ว่า gVim ยังมีอยู่ ในความเป็นจริงในบางระบบ Vim เป็นทางเลือกเดียวของคุณในการแก้ไข ดังนั้นจึงปลอดภัยกว่าgeditโดยอาศัยเหตุที่ไม่ก่อให้เกิดปัญหาเดียวกัน คุณยังคงแก้ไขในฐานะ root ในทั้งสองกรณีดังนั้นคุณอาจทำให้เกิดปัญหากับการแก้ไขที่ไม่เหมาะสม

ตามโพสต์บล็อกนี้ :

ครั้งแรกที่คุณใช้ vim ไฟล์~/.viminfoจะถูกสร้างขึ้นและถ้าคุณใช้sudo vimเป็นครั้งแรกที่คุณใช้ vim หลังจากติดตั้งบนระบบใหม่การอนุญาต~/.viminfoจะมีเจ้าของตั้งค่าเป็นรูทแทนที่จะเป็นผู้ใช้เริ่มต้น

ในขณะที่ผู้เขียนชี้ให้เห็นว่ามันสามารถนำไปสู่ปัญหาไม่มีอะไรซับซ้อน - เพียงchownไฟล์กลับไปที่ตัวคุณเอง

ดูสิ่งนี้ด้วย:

• มีอะไรไม่ดีเกิดขึ้นเมื่อใช้ gedit กับ sudo

เป็นไปได้ที่จะใช้sudoeditเพื่อให้บรรลุสิ่งนี้; มันเปิดสำเนาชั่วคราวของไฟล์ในตัวแก้ไขของคุณโดยที่ตัวแก้ไขของคุณจะทำงานเหมือนคุณ จากหน้าคน :

1. สำเนาชั่วคราวทำจากไฟล์ที่จะแก้ไขโดยเจ้าของถูกตั้งค่าเป็นผู้ใช้ที่เรียกใช้

2. ตัวแก้ไขที่ระบุโดยนโยบายจะถูกเรียกใช้เพื่อแก้ไขไฟล์ชั่วคราว นโยบาย sudoers ใช้และSUDO_EDITOR, VISUALและEDITORตัวแปรสภาพแวดล้อม (ตามลำดับ) ถ้าไม่มีSUDO_EDITOR, VISUALหรือEDITORมีการตั้งค่าโปรแกรมแรกที่ระบุไว้ในการแก้ไขsudoers(5)ตัวเลือกที่ถูกนำมาใช้

3. หากมีการแก้ไขไฟล์ชั่วคราวจะถูกคัดลอกกลับไปยังตำแหน่งเดิมและเวอร์ชันชั่วคราวจะถูกลบออก

มันใช้งานได้ดีกับเสียงเรียกเข้า (เป็นสิ่งที่ฉันทำโดยทั่วไป) และฉันคิดว่ามันจะให้คุณใช้ gedit ด้วย มีบางข้อ จำกัด การรักษาความปลอดภัย

ลิงก์นี้เก่ามาก (2013) แนะนำให้ใช้gksudoหรือgksuสำหรับแอพพลิเคชั่นกราฟิก แต่ทั้งสองอย่างนั้นล้าสมัยแล้ว ต่อมาคำตอบที่ได้รับการยอมรับก็แสดงให้เห็นsudo -Hว่า

ฉันทามติทั่วไปในชุมชนAsk Ubuntuเมื่อเร็ว ๆ นี้คือการใช้:

sudo -H gedit /path/to/filename

ปัญหาเดียวที่ยังคงอยู่ที่sudoไม่มีโปรไฟล์สำหรับการตั้งค่าแท็บส่วนขยายการตัดคำชื่อแบบอักษรขนาดแบบอักษร ฯลฯ คุณสามารถรับสิ่งเหล่านี้จากโปรไฟล์ผู้ใช้ของคุณแม้ว่าจะมีสคริปต์ตัวตัดคำเช่นนี้: ฉันจะซิงค์รากของฉันได้อย่างไร gedit กับการตั้งค่าของผู้ใช้ gedit ของฉัน?

sudo vimใช่มันเป็นความปลอดภัยในการใช้งาน ปัญหาที่ฉันเจอคือ

• ต้องออกจากไฟล์และเปิดใหม่ด้วยsudo vimเพื่อให้สามารถแก้ไขได้

• มีรากvimrcเป็นค่าเริ่มต้นไม่ใช่สิ่งที่มีประโยชน์ที่กำหนดเองของฉัน

นี่คือฟังก์ชั่นที่คุณสามารถใส่bashrcเพื่ออนุญาตให้ vim sudo โดยอัตโนมัติหากคุณไม่สามารถแก้ไขไฟล์ได้ตามปกติ

vim() {
    #only good for auto-sudo. delete if no sudo privileges.
    #If you're not just opening a single file, let's not use this.
    if [[ "$#" -ne 1 ]]; then
        command vim "$@"
    #cases: if we can write to the file, or the file doesn't exist and we can make new files in that directory
    elif [[ -w "$1" || ( -w $(dirname "$1") && ! -f "$1" ) ]]; then
        # \vim or 'vim' only escape aliases, not functions
        command vim "$1"
    else
        sudo env HOME="$HOME" vim -u $HOME/.vimrc "$1"
    fi
}

ไม่เป็นไรใช้ vi เป็น root อาจมีบางครั้งที่คุณต้องแก้ไขไฟล์ที่ต้องใช้สิทธิ์ sudo หรือรูทเช่นเปลี่ยนไฟล์เน็ตเวิร์กอินเตอร์เฟสของคุณหรืออาจแก้ไขไฟล์ sshd config ของคุณ การใช้รูทสำหรับเนื้อหากราฟิกนั้นไม่ดีเพราะคนจะเชื่อมต่อกับ IRC หรือท่องเว็บเป็นรูท หากพวกเขามีไวรัสในขณะที่ทำเช่นนั้นมันจะมีสิทธิ์เข้าถึงแบบเต็ม

สิ่งที่ไม่ได้กล่าวถึงในคำตอบอื่น ๆ คือการใช้ vim พร้อมรูทจะให้สิทธิพิเศษรูทแก่ปลั๊กอินที่คุณติดตั้ง ดังนั้นคำถามที่ว่าจะปลอดภัยหรือไม่ที่จะรันในฐานะรูทขึ้นอยู่กับว่าคุณเชื่อถือนักพัฒนาปลั๊กอินเหล่านั้น (หรือผู้สนับสนุนโครงการ) หรือไม่ที่จะเป็นเจ้าของระบบของคุณเอง

โดยทั่วไปจะตรวจสอบโดยผู้ดูแลแพคเกจในการแจกแจงลินุกซ์ทั้งหมดดังนั้นจึงง่ายที่จะเชื่อถือ อย่างไรก็ตามโดยทั่วไปแล้วปลั๊กอิน vim จะถูกติดตั้งโดยตรงจาก GitHub repos และมักจะมีการตรวจสอบผู้ใช้น้อยกว่า (อาจไม่มี) กล่าวอีกนัยหนึ่งไม่มีกระบวนการในการตรวจสอบกับพวกเขา

หากคุณไม่ได้โหลดปลั๊กอินในขณะที่อยู่ในรูทฉันคิดว่าการรันในฐานะรูทขึ้นอยู่กับว่าคุณไว้วางใจนักพัฒนาที่เป็นกลุ่มหรือไม่ คุณสามารถข้ามไปต้องเชื่อถือพวกเขาอย่างไรก็ตามด้วยการใช้ sudoedit ซึ่งสร้างโดยนักพัฒนาของ sudo คนเดียวกันซึ่งคนที่เราไว้วางใจแล้วด้วยการเข้าถึงรูทอย่างไรก็ตาม GKFX และ NieDzejkob ได้พูดถึงแล้วว่าทำไม sudoedit จึงเป็นอุดมคติ นอกเหนือจากจุดที่คุณไม่ต้องไว้ใจการเข้าถึงรูทของผู้อื่นนอกเหนือจากนักพัฒนาของ sudo คุณสามารถโหลดปลั๊กอินทั้งหมดที่คุณไว้วางใจได้ด้วยบัญชีผู้ใช้ปกติของคุณ