【发布时间】:2018-04-12 02:43:38
【问题描述】:
在阅读introduction to the Rust programming language时,我遇到了要求使用以下命令的安装方法
curl -sf -L https://static.rust-lang.org/rustup.sh | sudo sh
请注意,这不是最受信任的应用程序安装方式。任何人都可以向我提供有关此命令如何危险的详细信息,是否有任何方法可以保护自己免受其影响?
【问题讨论】:
-
curl转到 Internet 上不受信任的站点并返回文本。您将该文本通过管道传输到本地机器上具有 root 访问权限的 shell。因此,您不信任的人能够在您的机器上运行任意代码。我希望,安全隐患相当明显。 -
我可以用目标目录运行 sh 命令,这样就不需要 sudo。
-
我强烈建议将输出转储到文件中并检查它。