如果我们将以下几行添加到 sudoers:
Defaults requiretty
Defaults:apache !requiretty
apache ALL=NOPASSWD: /etc/init.d/httpd graceful
有什么安全影响?
我的理解是:如果“网络用户”可以管理注入,他们可以优雅地重新启动 httpd 服务器?
还有什么危险吗?
requiretty表示sudo即使没有交互式 shell/会话也可以使用。
安全影响取决于系统设置。如果 apache 用户可以通过更改某些参数来写入/etc/init.d/httpd或更改 init 脚本的行为,那么/etc/defaults攻击者就可以做任何事情。
只要确实需要,您就不应该在系统上授予您的网络服务器任何更高的权限。