ฉันต้องการแก้ไข/etc/sudoersจากสคริปต์เพื่อเพิ่ม / ลบสิ่งต่างๆจากรายการสีขาว
สมมติว่าฉันมีคำสั่งที่ใช้กับไฟล์ปกติฉันจะนำไปใช้กับมันได้/etc/sudoersอย่างไร?
ฉันสามารถคัดลอกและแก้ไขแล้วvisudoแทนที่ต้นฉบับด้วยสำเนาที่แก้ไขได้หรือไม่ โดยให้สคริปต์ของฉันเองใน$EDITOR?
หรือฉันสามารถใช้ล็อคเดียวกันและcp?
คำถามนี้เกี่ยวกับปัญหาที่อาจเกิดขึ้นมากกว่าแค่การค้นหาสิ่งที่ใช้ได้ผล
คำตอบ:
กระทู้เก่า แต่สิ่งที่เกี่ยวกับ:
echo 'foobar ALL=(ALL:ALL) ALL' | sudo EDITOR='tee -a' visudoecho "$CONFIGLINE" | (EDITOR="tee -a" visudo)
-aแฟล็กถึงEDITOR="tee": มันจะต่อท้ายบรรทัดในไฟล์ไม่เพียง แต่เขียนทับบรรทัดแรกเท่านั้น ตอนแรกฉันไม่เข้าใจสิ่งที่แตกต่างและฉันคิดวิธีต่อท้ายไม่ได้ ฉันหวังว่าฉันจะพบบางคนได้บ้างโดยชี้ไปที่ตรงนั้น ;-)
ใช้ visudo สำหรับสิ่งนี้ด้วยโปรแกรมแก้ไขแบบกำหนดเอง วิธีนี้ช่วยแก้ปัญหาสภาพการแข่งขันและปัญหา "แฮ็ก" ทั้งหมดด้วยโซลูชันของ Brian
#!/bin/sh
if [ -z "$1" ]; then
echo "Starting up visudo with this script as first parameter"
export EDITOR=$0 && sudo -E visudo
else
echo "Changing sudoers"
echo "# Dummy change to sudoers" >> $1
fiสคริปต์นี้จะเพิ่มบรรทัด "# Dummy change to sudoers" ต่อท้าย sudoers ไม่มีการแฮ็กและไม่มีเงื่อนไขการแข่งขัน
เวอร์ชันคำอธิบายประกอบที่อธิบายวิธีการใช้งานจริง:
if [ -z "$1" ]; then
# When you run the script, you will run this block since $1 is empty.
echo "Starting up visudo with this script as first parameter"
# We first set this script as the EDITOR and then starts visudo.
# Visudo will now start and use THIS SCRIPT as its editor
export EDITOR=$0 && sudo -E visudo
else
# When visudo starts this script, it will provide the name of the sudoers
# file as the first parameter and $1 will be non-empty. Because of that,
# visudo will run this block.
echo "Changing sudoers"
# We change the sudoers file and then exit
echo "# Dummy change to sudoers" >> $1
fi--enable-env-editorมิฉะนั้นจะใช้การเคารพตัวแปรเอดิเตอร์หากเป็นหนึ่งในค่าที่ทราบเล็กน้อยเท่านั้น
sudo -Eจากคำสั่งแรก
คุณควรแก้ไขไฟล์ชั่วคราวจากนั้นใช้ visudo -c -f sudoers.temp เพื่อยืนยันว่าการเปลี่ยนแปลงนั้นถูกต้องจากนั้นคัดลอกไปที่ด้านบนของ / etc / sudoers
#!/bin/sh
if [ -f "/etc/sudoers.tmp" ]; then
exit 1
fi
touch /etc/sudoers.tmp
edit_sudoers /tmp/sudoers.new
visudo -c -f /tmp/sudoers.new
if [ "$?" -eq "0" ]; then
cp /tmp/sudoers.new /etc/sudoers
fi
rm /etc/sudoers.tmpใน Debian และสารอนุพันธ์ของมันคุณสามารถแทรกสคริปต์ที่กำหนดเองลงใน/etc/sudoers.d/ไดเรกทอรีที่มีสิทธิ0440- สำหรับข้อมูลเพิ่มเติมโปรดดูที่/etc/sudoers.d/README
มันอาจช่วยได้
visudo /etc/sudoersควรจะเป็นอินเตอร์เฟซของมนุษย์สำหรับการแก้ไข คุณสามารถบรรลุสิ่งเดียวกันได้โดยการแทนที่ไฟล์โดยตรง แต่คุณต้องดูแลตัวเองเกี่ยวกับการแก้ไขพร้อมกันและการตรวจสอบไวยากรณ์ คำนึงถึงr--r-----สิทธิ์
หากคุณsudoอนุญาตให้เพิ่มรายการใน/etc/sudoers.dคุณสามารถใช้คำตอบนี้โดย @ dragon788:
https://superuser.com/a/1027257/26022
โดยพื้นฐานแล้วคุณvisudoจะใช้เพื่อยืนยันไฟล์ก่อนที่จะคัดลอกลงในไฟล์/etc/sudoers.dดังนั้นคุณจึงมั่นใจได้ว่าคุณจะไม่ทำลายsudoใคร
visudo -c -q -f filenameการตรวจสอบนี้ก็ประสบความสำเร็จและผลตอบแทน (0) ถ้ามันถูกต้องเพื่อให้คุณสามารถใช้กับif, &&และการดำเนินงานแบบบูสคริปต์อื่น ๆ เมื่อคุณตรวจสอบความถูกต้องแล้วให้คัดลอกลงในเครื่อง/etc/sudoers.dและควรใช้งานได้ ตรวจสอบให้แน่ใจว่าเป็นของรูทและไม่สามารถเขียนได้โดยผู้อื่น
ตั้งค่าตัวแก้ไขแบบกำหนดเอง โดยทั่วไปจะเป็นสคริปต์ที่ยอมรับชื่อไฟล์ (ในกรณีนี้คือ /etc/sudoers.tmp) และแก้ไขและบันทึกในตำแหน่งนั้น คุณก็เขียนลงไฟล์นั้นได้ เมื่อคุณทำเสร็จแล้วให้ออกจากสคริปต์และ visudo จะจัดการแก้ไขไฟล์ sudoers จริงให้คุณ
sudo EDITOR=/path/to/my_dummy_editor.sh visudo#!/bin/sh; echo "# my changes to sudoers" >> $1; exit 0ดูเหมือนว่าจะได้ผลสำหรับฉัน
มีคำตอบมากมายทำงานร่วมกับ sudo สำหรับ yonks แต่ไม่จำเป็นต้องกำหนดค่าการตั้งค่าอัตโนมัติจนถึงตอนนี้ ฉันใช้คำตอบบางส่วนผสมกันโดยเขียนบรรทัด config ของฉันไปที่ /etc/sudoers.d รวมตำแหน่งดังนั้นฉันไม่ต้องแก้ไขไฟล์ sudoers หลักจากนั้นตรวจสอบไฟล์นั้นเพื่อหาไวยากรณ์ตัวอย่างง่ายๆด้านล่าง:
เขียนบรรทัดของคุณไปยังไฟล์ sudoers include:
sudo bash -c 'echo "your_user ALL=(ALL) NOPASSWD:ALL" >> /etc/sudoers.d/99_sudo_include_file'ตรวจสอบว่า sudoers ของคุณรวมไฟล์ผ่านการตรวจสอบไวยากรณ์ visudo แล้ว:
sudo visudo -cf /etc/sudoers.d/99_sudo_include_fileเพียงเพื่อเพิ่มตัวเลือกเพิ่มเติมให้กับคำตอบด้านบนหากเงื่อนไขการแข่งขันไม่ได้เป็นประเด็นสำคัญคุณสามารถใช้คำสั่งต่อไปนี้เพื่อหลีกเลี่ยงการคัดลอกไฟล์ที่แก้ไขด้วยตนเองไปยัง /etc/sudoers
sudo EDITOR="cp /tmp/sudoers.new" visudoเพื่อให้แน่ใจว่าไฟล์ใหม่ได้รับการตรวจสอบและติดตั้งอย่างถูกต้องด้วยการอัปเดตสิทธิ์
โปรดทราบว่าหากมีข้อผิดพลาดใน/tmp/sudoers.newไฟล์นั้นvisudoจะแจ้งให้ผู้ใช้ป้อนข้อมูลดังนั้นขอแนะนำให้ตรวจสอบvisudo -c -f /tmp/sudoers.newก่อน
ฉันคิดว่าวิธีแก้ปัญหาที่ตรงไปตรงมาที่สุดคือ:
สร้างสคริปต์addudoers.sh
#!/bin/sh
while [ -n "$1" ]; do
echo "$1 ALL=(ALL:ALL) ALL" >> /etc/sudoers;
shift # shift all parameters
doneและเรียกมันกับผู้ใช้ที่คุณต้องการเพิ่มเป็น:
root prompt> ./addsudoers.sh user1 user2สำหรับคำอธิบายทั้งหมดดูคำตอบนี้: การเพิ่มผู้ใช้ไปยัง sudoers ผ่านเชลล์สคริปต์
ความนับถือ!
พยายามที่จะสะท้อนมัน คุณต้องเรียกใช้ใน subshell แม้ว่า ตัวอย่าง:
sudo sh -c "echo \"group ALL=(user) NOPASSWD: ALL\" >> /etc/sudoers"
สิ่งนี้ได้ผลสำหรับฉันโดยอิงจากสิ่งที่คนอื่นโพสต์ที่นี่ เมื่อฉันใช้สคริปต์คนอื่นมันจะเปิด visudo ให้ฉัน แต่จะไม่ทำการแก้ไข สิ่งนี้ทำให้ฉันต้องแก้ไขเพื่อให้ผู้ใช้ทั้งหมดรวมถึงผู้ใช้มาตรฐานติดตั้ง java 7u17 สำหรับซาฟารี / firefox
#!/usr/bin/env bash
rm /etc/sudoers.new
cp /etc/sudoers /etc/sudoers.new
echo "%everyone ALL = NOPASSWD: /usr/sbin/installer -pkg /Volumes/Java 7 Update 17/Java 7 Update 17.pkg -target /" >> /etc/sudoers.new
cp /etc/sudoers.new /etc/sudoersสิ่งนี้เพิ่ม% ทุกคน blah blah blah ที่ด้านล่างของไฟล์ sudoers ฉันต้องเรียกใช้สคริปต์เช่นนี้
sudo sh sudoersedit.shขอให้โชคดี: D
echo "$USER ALL=NOPASSWD:/usr/bin/rsync" | (sudo su -c 'EDITOR="tee" visudo -f /etc/sudoers.d/rsync')ทั้งควรจะดำเนินการเป็นรากเช่น