Является ли sudo -i менее безопасным, чем pkexec?
Я только что слышал, что не рекомендуется использовать sudo -i на программах с графическим интерфейсом - потому что это менее безопасно.
Есть ли правда здесь - есть ли преимущество в этом:
sudo -i gedit /random/file.name
над
pkexec gedit /random/file.name
Раньше я использовал gksudo, но это было прекращено, так что теперь я использую sudo -i чтобы предотвратить владение корневыми файлами в моей домашней области. Но я должен действительно использовать pkexec?
Вот причина:
Среда, в которой будет работать PROGRAM [in], будет настроена на минимально известную и безопасную среду, чтобы избежать внедрения кода через
LD_LIBRARY_PATHили подобные механизмы. В дополнениеPKEXEC_UIDпеременная окружения установлена на идентификатор пользователя вызывающего процессаpkexec,
1 ответ
Я думаю, что проблема безопасности, о которой вы говорите, проистекает из того факта, что если вы используете sudo с или без -i, у вас есть активное разрешение на запуск команд sudo в течение 5 минут. Если бы вы должны были сделать sudo vim /file.txt затем оставьте, ваш компьютер без присмотра сеанс sudo будет по-прежнему активным. кто-то может прийти и напечатать sudo rm /file.txt или хуже.
pkexec будет каждый раз запрашивать пароль, который будет казаться немного более безопасным.
Я думаю, что Elementary OS предназначена для школ, где физическая среда не должна считаться безопасной. Студенты вполне могут появиться за вашим столом через несколько секунд после вашего отъезда. Для сравнения: в моем бизнес-офисе, где ключ есть только у 3 человек, а мой компьютер в меру физически защищен, я меньше беспокоюсь о тех, кому не доверяют и которые используют мой компьютер без присмотра. Если я запускаю команду sudo, а затем ухожу, я предполагаю, что никто не зайдет и не выдаст вредоносные команды sudo.
Я не претендую на звание эксперта по безопасности, но думаю, что именно об этом думают элементарные пользователи ОС.