답변:
당신이 실행하는 경우 pip에 sudo, 당신은 실행 setup.py으로 sudo. 즉, 인터넷에서 임의의 Python 코드를 루트로 실행합니다. 누군가 PyPI에 악성 프로젝트를 올려 설치하면 공격자에게 시스템에 대한 루트 액세스 권한을 부여합니다. pip및 PyPI에 대한 최근 수정 이전에 공격자는 신뢰할 수있는 프로젝트를 다운로드 할 때 중간자 공격을 실행하여 코드를 삽입 할 수도 있습니다.
sudo할 때나 아니든 사실이 될 것입니다 pip. 일단 설치되면 어떻게 설치 되었든 우리 모두 위험에 처해 있습니까?
sudo패키지를 다른 곳에 (예 : virtualenv) 설치하여 이러한 권한 문제뿐만 아니라 이러한 권한 문제 를 방지하는 것은 매우 간단합니다 . 그렇게하면 모든 보안 문제를 무시하더라도 더 좋고 더 안정적 일 수 있습니다.
명백한 보안 위험 (당신이 알고있는 소프트웨어를 설치할 때 실제로 낮다고 생각하는) 외에도 다른 답변을 가져 오는 또 다른 이유가 있습니다. 시스템과 함께 제공되는 Python은이 시스템의 일부이며 시스템을 관리하려면 소프트웨어를 설치 / 업그레이드 / 제거 할 때 패키지 관리자와 같은 시스템 유지 관리 용 도구를 사용합니다. 타사 도구 (이 경우 pip)를 사용하여 시스템 소프트웨어를 수정하기 시작하면 시스템 상태에 대해 보장 할 수 없습니다. 또 다른 이유는 sudo가 당신에게 기회가 없거나 그렇지 않으면 가질 기회가 아주 적을 문제를 가져올 수 있다는 것입니다. 예를 들어 Python에서 sys.executable과 sys.version 간의 불일치 참조
Distros는이 문제를 인식하고이를 완화하려고합니다. 예를 들어 Fedora – sudo pip를 안전하게 만들고 Debian – site-packages 대신 dist-packages .
그런 식으로 pip를 사용한다는 것은 시스템에 무엇이든 만들 수있는 수준까지 신뢰한다는 것을 의미합니다. pip뿐만 아니라 신뢰할 수없는 소스에서 다운로드하고 실행하는 모든 코드는 악성 일 수 있습니다.
그리고 pip에는 모든 권한이 필요하지 않으며 특정 파일 및 디렉토리에 대한 쓰기 권한 만 필요합니다. 시스템의 패키지 관리자를 사용할 수없고 가상 환경으로 가고 싶지 않다면 python 설치 디렉토리에 대한 쓰기 권한이있는 특정 사용자를 생성하여 pip에 사용할 수 있습니다. 그렇게하면 pip가 할 수있는 것과하지 않는 것을 더 잘 제어 할 수 있습니다. 그리고 당신은 sudo -u그것을 위해 사용할 수 있습니다 !
site-packages.
pip자체, IPython, django, pygments 등)를 설치하므로 자신이 설치하는 디렉토리에 액세스해야합니다.
pip(새 홈 디렉토리 등과 같은 시스템 변경 사항 없음)? 그 후에 소유자 site-packages를 해당 사용자로 변경했다고 가정 합니다. 맞습니까?
pip이 설치된 항목의 후속 실행 중에 만 적용됩니까 ?