O problema não é 'o que poderia acontecer' tanto quanto o que não poderia acontecer. Quero dizer, vi
é uma ferramenta bastante poderosa, e usá-lo como um usuário privilegiado fornece muitos caminhos potenciais de ataque e exploração.
E é por isso que você não deve fazer isso - porque você está jogando 'bloquear o mousehole' em uma grande casa antiga.
Qualquer coisa interativa é "arriscada". Avenidas de ataque:
- Shell escapa - a NOEXEC ajuda aqui.
- Editando arquivos de configuração do sistema - há um monte de culpados "óbvios", como
/etc/passwd
etc., mas também há lugares onde você poderia, por exemplo, inserir um script CGI em uma instância do apache e escalar esse privilégio. Ou modifique um script chamado por root
s crontab. (Isso é particularmente divertido se eles tiverem o NFS montado!)
- editando scripts do sistema (como o conteúdo de
/etc/rc
).
- Ataques de travessia de links simbólicos - crie um link simbólico para
/etc/passwd
e edite esse para ignorar qualquer tipo de lista branca de arquivos.
Você pode também dar NOPASSWD: ALL
porque tudo o que você realmente confia é que seus usuários não farão algo idiota como root.
Adicione o ponto adicional - muitas pessoas têm editores favoritos. Eu usei ed
quando precisei, e principalmente uso vim
nos dias de hoje. Mas nem todo mundo gosta deles. Uma das grandes vantagens do sudoedit
é que ele permite usar qualquer coisa.