logo标签列表

Shell脚本 - 随着时间的推移,Sudo权限丢失

bashshellubuntusudo
7

我写了一个简单的bash脚本,在整个脚本的执行过程中需要保持超级用户权限。然而,当脚本执行sleep命令时,很不幸但可以理解的是它失去了sudo提升的权限。这对我来说不是好事:

sudo echo "I am sudo!" # Asks for passwords
sleep(60)
sudo echo "I am sudo!" # Need to enter password again.

我考虑用一个while循环来代替sleep,以保持sudo权限的有效性,但我相信有更好的方法可以使sudo权限在整个脚本中保持有效。谢谢。
2
为什么不让用户以“sudo”方式运行它? - CharlesB
6个回答
10
sudo的灵活性经常被低估。这导致了非常糟糕的做法(比如使用"sudo su -"这种炮弹手术方法)。
一个更好的方法是明确允许你打算无需密码允许的命令:
phill = NOPASSWD: /bin/ls, /usr/bin/lprm
你可以选择为特定用户从特定主机上运行为特定管理员用户的程序执行此操作。你甚至可以防止用户将shell转义作为参数传递。你可以让sudo阻止启动的程序动态执行更多应用程序等等。你需要阅读sudoers手册(并确保阅读编辑此特殊文件的过程!)。以下是一些例子(来自这里):
User_Alias     OPERATORS = joe, mike, jude
Runas_Alias    OP = root, operator
Host_Alias     OFNET = 10.1.2.0/255.255.255.0
Cmnd_Alias     PRINTING = /usr/sbin/lpc, /usr/bin/lprm

OPERATORS ALL=ALL
#The users in the OPERATORS group can run any command from any terminal.

linus ALL=(OP) ALL
# The user linus can run any command from any terminal as any user in the OP group (root or operator).

user2 OFNET=(ALL) ALL
# user user2 may run any command from any machine in the OFNET network, as any user.

user3 ALL= PRINTING
# user user3 may run lpc and lprm from any machine.

go2linux ALL=(ALL) ALL
# user go2linux may run any command from any machine acting as any user. (like Ubuntu)

 If you want not to be asked for a password use this form
go2linux ALL=(ALL) ALL NO PASSWD: ALL
8

在严格按照脚本(不修改sudoers文件或通过sudo ./script.sh调用脚本)的情况下,以下是我认为最清晰的方法:

startsudo() {
    sudo -v
    ( while true; do sudo -v; sleep 50; done; ) &
    SUDO_PID="$!"
    trap stopsudo SIGINT SIGTERM
}
stopsudo() {
    kill "$SUDO_PID"
    trap - SIGINT SIGTERM
    sudo -k
}

基本上,这定义了一对用于启用和禁用sudo模式的函数。在运行使用sudo的代码之前调用startsudo进行sudo身份验证,分叉一个后台sudo刷新循环,保存循环的PID,并设置信号陷阱以在按下Ctrl + C时停止sudo模式。调用stopsudo会终止循环,清除信号陷阱,并使之前与sudo的身份验证无效。
将这些函数复制到您的脚本中后,像这样使用它们。
startsudo
echo "Sudo mode is active."
# whatever you want to do with sudo
stopsudo

我要感谢 @karl 简化了sudo-refreshing循环的操作,并感谢 @sehe 指出如果未正常停止循环,则应使用信号陷阱来终止循环。这两个想法都改进了我的btrfs备份脚本,该脚本使用sudo-refreshing循环来避免在子卷备份时间超过sudo超时后重新提示用户。请参考我的btrfs备份脚本
5

您可以通过编辑/etc/sudoers文件来调整此超时时间。

Defaults timestamp_timeout=#Number of minutes

但是运行起来要容易得多

sudo ./worker.sh
5

这里有一个解决方法:

sudo echo "I am sudo!" # Asks for passwords
( while true; do sudo -v; sleep 40; done ) &   # update the user's timestamp
sudoPID=$!
# ...
sleep(60)
sudo echo "I am sudo!" # Need to enter password again.
kill -TERM $sudoPID
sudo -k  # invalidate the user's timestamp at end of script (does not require a password)
2
如果你要这样黑客它,至少确保在你的脚本中将kill和sudo -k注册为信号陷阱。否则会引发严重的安全漏洞。(使用Ctrl-C终止脚本,sudo无声地无限期保持活动状态) - sehe
2
这是我的方式:
#!/bin/sh
echo "Working..."
# add you pass
echo "yourpass" >> file.pass ;sleep 5 
# Check if root
if [ `cat file.pass | sudo -S su root -c whoami` != "root" ]; then
echo "Not running as root. Exiting..."
sleep 2
echo "Cleaning..."
sleep 1
srm file.pass
echo "Cleaned"
exit 0
else
echo "Running as root. Good"
sleep 2
# and run any sudo with
cat file.pass | sudo -S su root -c ls #<any command>
fi

sleep 5
echo `cat file.pass | sudo -S su root -c whoami` "say bay bay"
# if pass no longer need
srm file.pass
echo "End session :)"
exit 0
1
这看起来是一个有效的答案,但将用户密码保存到文件中似乎不太安全。另外,srm命令是做什么用的?我的Linux发行版没有它。 - Mark Haferkamp
0

一劳永逸地获取 root 权限:

sudo su -
# What I need to do with root
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接