3 581
contributi
mNessun oggetto della modifica |
|||
Riga 136: | Riga 136: | ||
Le restrizioni operate con '''!''' non sono '''MAI''' realmente efficaci contro malintenzionati se si permette l'uso di ''ALL'', vista la difficoltà di immaginare a priori tutti i comandi possibili. Al limite comunicano che i SUPERUSERS non dovrebbero eseguire tali comandi o equivalenti con lo stesso effetto. | Le restrizioni operate con '''!''' non sono '''MAI''' realmente efficaci contro malintenzionati se si permette l'uso di ''ALL'', vista la difficoltà di immaginare a priori tutti i comandi possibili. Al limite comunicano che i SUPERUSERS non dovrebbero eseguire tali comandi o equivalenti con lo stesso effetto. | ||
Non sarebbe vietato avviare altri interpreti (<code>awk</code>, <code>perl</code>, <code>python</code>, ...), eseguibili con una shell di escape (in grado di avviare una shell, tra cui perfino alcuni giochi) e in generale comandi in grado di avviarne altri (<code>env</code>, <code>find</code>, ...) o di contenere più sessioni (<code>screen</code>, <code>tmux</code>, ... ) o terminali grafici, editor di testo (<code>nano</code>, <code>vi</code>, ...) o qualsiasi comando in grado di alterare un file (<code>cp</code>, <code>mv</code>, <code>chmod</code>, <code>chown</code>, <code>tee</code>, <code>dd</code>, ...) per poter modificare <code>/etc/sudoers</code>. | Non sarebbe vietato agire su un dispositivo in /dev, caricare nuovi moduli nel kernel, avviare altri interpreti (<code>awk</code>, <code>perl</code>, <code>python</code>, ...), eseguibili con una shell di escape (in grado di avviare una shell, tra cui perfino alcuni giochi) e in generale comandi in grado di avviarne altri (<code>env</code>, <code>find</code>, ...) o di contenere più sessioni (<code>screen</code>, <code>tmux</code>, ... ) o terminali grafici, editor di testo (<code>nano</code>, <code>vi</code>, ...) o qualsiasi comando in grado di alterare un file (<code>cp</code>, <code>mv</code>, <code>chmod</code>, <code>chown</code>, <code>tee</code>, <code>dd</code>, ...) per poter modificare <code>/etc/sudoers</code>. | ||
Se anche tutti questi venissero vietati, sarebbe sempre possibile fare copie di una shell con altri nomi e perfino creare nuovi eseguibili che modifichino file con [[privilegi di amministratore]]. | Se anche tutti questi venissero vietati, sarebbe sempre possibile fare copie di una shell con altri nomi e perfino creare nuovi eseguibili che modifichino file con [[privilegi di amministratore]]. |
contributi