sudo -i比pkexec安全吗？

Question

我刚听说不建议在GUI程序上使用sudo -i，因为它不太安全。

这里有什么事实吗?这有什么好处吗？

sudo -i gedit /random/file.name

结束

pkexec gedit /random/file.name

我以前使用gksudo，但是已经被淘汰了，所以现在我使用sudo -i来实现防止根用户在我的主区域拥有文件。但我真的应该使用pkexec吗？

原因如下：

程序将运行在……里面的环境将被设置为最小的已知和安全环境，以避免通过LD_LIBRARY_PATH或类似机制注入代码。此外，PKEXEC_UID环境变量被设置为调用pkexec的进程的用户id。

Answer 1

我认为您所指的安全问题来自这样一个事实:如果您使用sudo，无论是否使用-i，您都有运行sudo命令的活动权限，时间为5分钟。如果您要做sudo vim /file.txt然后离开，您的计算机无人值守的sudo会话仍将处于活动状态。有人可能会出现，输入sudo rm /file.txt或更糟。

pkexec每次都会提示您输入密码，这似乎更安全一些。

我认为初级操作系统是为学校设计的，那里的物理环境不应该被认为是安全的。学生们在你离开后很可能会出现在你的办公桌前。相比之下，在我的商务办公室里，只有三个人有钥匙，而我的电脑在物理意义上是相当安全的，我不太关心那些不受信任的人在没有监督的情况下运行和使用我的电脑。如果我运行sudo命令，然后离开，我假设没有人会进来并发出恶意sudo命令。

我并不声称自己是一名安全专家，但我认为这就是那些基本操作系统的人所想的。