偶尔我会遇到评论或回应该状态强调运行pip
under sudo
是“错误”或“坏”,但在某些情况下(包括我设置一堆工具的方式),它要么更简单,要么甚至有必要以这种方式运行。
跑步有哪些风险pip
under sudo
?
请注意,这与以下问题不同this one尽管有标题,但它没有提供有关风险的信息。这也不是如何避免使用的问题sudo
,但具体是关于为什么人们想要这样做。
当你跑步时pip
with sudo
, 你跑setup.py
with sudo
。换句话说,您可以以 root 身份运行来自 Internet 的任意 Python 代码。如果有人在 PyPI 上发布了恶意项目并且您安装了它,那么您就为攻击者提供了对您计算机的 root 访问权限。在最近的一些修复之前pip
和 PyPI 一样,当您下载值得信赖的项目时,攻击者还可以运行中间人攻击来注入他们的代码。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)