Eu tenho um usuário normal no meu sistema que precisa ter acesso de gravação em httpd.conf . Se eu tiver a seguinte entrada no meu arquivo sudoers:
joe ALL=(ALL) /usr/bin/vim /etc/httpd/confs/httpd.conf
Existe algum risco em fazer isso?
Melhor seria alterar o grupo desse arquivo httpd.conf ( chgrp some-group .../httpd.conf ), tornar o grupo de arquivos gravável ( chmod g+w .../httpd.cond ). E torne joe um membro desse grupo.
Mas, mesmo assim, tenho certeza de que joe poderia usar isso para conceder a si mesmo mais direitos, pois lembre-se que apache analisa sua configuração como root . É só mais tarde que ele muda para www-data ou qualquer que seja o usuário HTTP em seu sistema.
O que acontece se eles abrirem esse arquivo com o sudo e fizerem :!/bin/bash ?
Eu pareço lembrar que você pode evitar isso no vim (ou sudo). Mas vale a pena ter em mente.
Aqui você vai: VIM: "sudo vim bad_idea"?
Basicamente, você quer rvim