为了账号安全,请及时绑定邮箱和手机立即绑定

运行“sudo pip”的风险是什么?

/ 猿问

运行“sudo pip”的风险是什么?

杨魅力 2019-07-13 10:17:58

运行“sudo pip”的风险是什么?

偶尔我会碰到评论或答复那种状态,强调的是pip在……下面sudo是“错误”或“坏”,但也有一些情况(包括我设置了一批工具的方式),这些情况或者简单得多,甚至有必要以这种方式运行。

与跑步有关的风险是什么?pip在……下面sudo?


请注意,这与这一个,尽管标题如此,却没有提供任何关于风险的信息。这也不是一个关于如何避免使用sudo,但具体地说,为什么一个人会想要这样做。


查看完整描述

3 回答

?
慕森王

当你跑的时候pip带着sudo,你跑setup.py带着sudo..换句话说,您可以从Internet上作为root运行任意Python代码。如果有人在PyPI上安装了一个恶意项目,那么攻击者就可以访问您的计算机。之前,最近对pip并且PyPI,攻击者还可以在下载可信项目时运行处于中间攻击中的人来注入他们的代码。

查看完整回答
反对 回复 2019-07-13
?
慕桂英3389331

除了明显的安全风险(我认为在安装软件时安全风险实际上很低),还有另外一个原因。系统附带的Python是该系统的一部分,当您想管理系统时,您可以使用指定用于系统维护的工具,如软件包管理器,以防安装/升级/卸载软件。当您开始使用第三方工具(本例中的PIP)修改系统的软件时,您无法保证系统的状态。另一个原因是,sudo会给你带来问题,你不会有机会,或者有一个很小的机会,否则。例如见Python中sys可执行文件和sys.version之间的不匹配

发行版意识到了这个问题,并试图减轻它。例如Fedora-确保sudo pip的安全还有Debian-Dist-包而不是站点包.


查看完整回答
反对 回复 2019-07-13
?
料青山看我应如是

以这种方式使用pip意味着您可以将它信任到允许它对您的系统进行任何操作的级别。不仅是PIP,还包括从您可能不信任的源代码下载和执行的任何代码,这些代码可能是恶意的。

PIP不需要所有的特权,只需要对特定文件和目录的写访问。如果您不能使用您的系统的包管理器,并且不想采用虚拟环境的方式,您可以创建一个特定的用户,该用户对python安装目录具有写特权,并将其用于pip。这样你就能更好地控制能做什么而不做什么。你可以用sudo -u为了那个!


查看完整回答
反对 回复 2019-07-13

添加回答

回复

举报

0/150
提交
取消
意见反馈 帮助中心 APP下载
官方微信