为什么要使用curl | sudo sh不建议？

Question

在我阅读Rust编程语言的介绍时,我遇到了安装方法,要求使用以下命令

curl -sf -L https://static.rust-lang.org/rustup.sh | sudo sh

请注意,这不是安装应用程序最值得信赖的方式.任何人都可以向我提供有关此命令如何危险的详细信息,是否有任何方法可以保护自己免受其影响？

Answer 1

因为您正在为正在执行的任何脚本提供root访问权限.它可以做各种令人讨厌的事情.

如果Rust站点遭到破坏,并且该脚本会以静默方式安装恶意软件,那么您将不知道,如果不先检查脚本.

Answer 2

正如丹尼尔说的还有更多原因:

• 如果脚本是通过HTTP而不是HTTPS提供给你的,那么Man In The Middle攻击可以由一些邪恶的第三方执行.使用HTTPS至少可以放心,脚本将从网站下载
• 如果连接在流中间关闭,则可能会执行部分命令,这些命令不是(并且可能是危险的).(见第1个链接)
• 您可能还认为在浏览器中打开脚本来检查它是否不是邪恶会降低风险.不幸的是它不会,因为网站所有者可能会为浏览器用户代理显示不同的内容(请参阅第2个链接)

如何正确降低风险呢:

理想的情况是:

在生产服务器上进行更改时使用此方法

curl -sf -L https://static.rust-lang.org/rustup.sh -o rustup.sh
less rustup.sh
chmod +x rustup.sh
sudo ./rustup.sh

显着更好,但不完美(但是单线):

您可以在开发机器/测试服务器上使用此方法

su -c "curl https://static.rust-lang.org/rustup.sh -o rustup.sh && chmod +x rustup.sh && ./rustup.sh"

参考文献:

• https://www.seancassidy.me/dont-pipe-to-your-shell.html
• https://jordaneldredge.com/blog/one-way-curl-pipe-sh-install-scripts-can-be-dangerous/