Capistrano kullanarak bir dağıtım betiği kurmaya çalışıyorum. Adım adım betiğimcap deploy:setup sunucuma bağlanıyor ve dizin oluşturan komutları çalıştırmaya çalışıyor. Sonra bir hata görüyorum:msudo: sorry, you must have a tty to run sudo
Sunucum üzerinde requestetty'yi devre dışı bırakmak için önerilen bir çözüm var. https://unix.stackexchange.com/a/49078/26271
Yapmanın güvenli olup olmadığını merak ediyorum.
Yanıtlar:
requirettyBir sunucuda sahip olmanın çok sınırlı bir güvenlik avantajı vardır . Kök olmayan bazı kodlardan yararlanılırsa (örneğin bir PHP betiği), requirettyseçenek, yararlanma kodunun, ayrıcalıklarını çalıştırarak doğrudan yükseltemeyeceği anlamına gelir sudo.
Saldırganın kök kazanması için başka bir yol olabilir ve elbette saldırgan sitenizi engellemeye devam edebilir ancak saldırganın kök kazanmasına izin vermemek, farklı kullanıcılar olarak çalışan diğer hizmetlerin normal şekilde çalışmaya devam edeceği ve saldırganın kazanacağı anlamına gelir ' Sistem kayıtlarını silemez. sudoKurallarınızın hiçbiri bir dizin oluşturmak gibi tehlikeli bir şey yapmazsa , bu bir endişe değil.
Dahası - ve daha da önemlisi - requirettybir tty oluşturmak için, örneğin beklediğiniz gibi bir imtiyaz gerekmez . Siz de kapanabilir Yani requiretty: kendi başına, bir güvenlik avantajı sağlamaz. Kullanıcılar tarafından yürütüldüğünde hafif bir denetlenebilirlik avantajı sağlar (kayıtlar, kimin kimi çağırdığı sudove nereden geldikleri hakkında daha iyi bir fikir vermesi nedeniyle ), ancak bir arka plan işinden yürütüldüğünde değil.
requirettyseçenek kimsenin sudo kullanmasını engellemez.
requirettyBir kullanıcının ssh ile bir şifre gerektiren bir sudo komutu yürütüyorsa, şifresini net metin ile sızdırmasını önleyebilir. Kullanıcıyı ssh-t'yi çağırmaya zorlamak için var.
expect(veyascreenmesela)requirettygüvenlik açısından yararsız mı demek istiyorsun ? (Bu cümle içinde "lanet" derken ne demek istediğinizi anlamadım)