โปรแกรมสามารถบอกได้หรือไม่ว่ากำลังทำงานภายใต้ sudo

ฉันมีโปรแกรมที่ควรทำงานต่างออกไปหากกำลังทำงานภายใต้ "sudo" มีวิธีที่จะดูว่ามันทำงานภายใต้ sudo หรือไม่?

อัปเดต: มีคนถามว่าทำไมฉันถึงต้องการทำเช่นนี้ ในกรณีนี้บน Mac ที่ใช้ MacPort มีเอาต์พุตที่บอกให้คุณตัดและวางคำสั่งเฉพาะ หากคำสั่ง MacPorts รันด้วย "sudo" คำสั่งนั้นควรรวม sudo ไว้ในคำสั่งตัวอย่าง:

$ sudo port selfupdate 
--->  Updating MacPorts base sources using rsync
MacPorts base version 2.2.1 installed,
MacPorts base version 2.2.1 downloaded.
--->  Updating the ports tree
--->  MacPorts base is already the latest version

The ports tree has been updated. To upgrade your installed ports, you should run
  port upgrade outdated

^^^^^^^^^ it would be really sweet if it output "sudo port upgrade outdated" instead.  It would be even better if it just did it for you :-)

ใช่มีตัวแปรสภาพแวดล้อม 4 ชุดเมื่อโปรแกรมทำงานภายใต้ sudo:

$ sudo env |grep SUDO
SUDO_COMMAND=/usr/bin/env
SUDO_USER=tal
SUDO_UID=501
SUDO_GID=20

โปรดทราบว่าสิ่งเหล่านี้สามารถปลอมได้โดยเพียงแค่ตั้งค่า อย่าไว้ใจพวกเขาในสิ่งที่สำคัญ

ตัวอย่างเช่น: ในโปรแกรมนี้เราต้องบอกผู้ใช้ให้เรียกใช้โปรแกรมอื่น หากหนึ่งปัจจุบันทำงานด้วย sudo อีกคนหนึ่งจะเกินไป

#!/bin/bash

echo 'Thank you for running me.'

if [[ $(id -u) == 0 ]]; then
  if [[ -z "$SUDO_COMMAND" ]]; then
    echo 'Please now run: next_command'
  else
    echo 'Please now run: sudo next_command'
  fi
else  echo 'Error: Sadly you need to run me as root.'
  exit 1
fi

โปรดทราบว่ามันจะทดสอบเฉพาะตัวแปร SUDO_ * หากสามารถพิสูจน์ได้ว่ามันทำงานเป็นรูท แม้ว่ามันจะใช้เพื่อเปลี่ยนข้อความที่เป็นประโยชน์เท่านั้น

นี่ไม่ได้ตอบคำถามโดยตรง แต่ฉันไม่คิดว่าคำถามที่ถูกถามจะถูกถามที่นี่ ดูเหมือนว่าผู้ถามต้องการโปรแกรมที่จะทำหน้าที่แตกต่างกันอย่างน่าเชื่อว่าถ้ามีสิทธิ์บางอย่างหรือไม่ แต่ฉันจะยืนยันการตรวจสอบ sudo ไม่ใช่วิธีที่จะทำเช่นนั้น ประการแรกระบบจำนวนมากอาจไม่ใช้ "sudo" มันไม่จำเป็นต้องใช้บน Linux หรือ Unixes จำนวนมาก

ตัวอย่างเช่นผู้ใช้อาจเข้าสู่ระบบในฐานะ root แล้วทำให้ sudo ไร้ความหมายหรืออาจเป็นระบบที่มีผู้ใช้ที่ไม่ใช่รูทที่ยังคงมีความสามารถในการดำเนินงานดูแลระบบที่โปรแกรมอาจต้องการทำ ในที่สุดระบบอาจไม่มีรูทหรือ sudo เลยและใช้ระบบควบคุมการเข้าถึงที่จำเป็นซึ่งมีความสามารถแตกต่างกันและไม่มีการใช้ superuser ทั้งหมดในการ sudo หรือผู้ใช้อาจถูก sudoed แต่เข้าสู่บัญชีที่ไม่มีสิทธิ์มากกว่าบัญชีของตนเองเพื่อความปลอดภัย (ฉันมักจะเรียกใช้รหัสที่ไม่น่าเชื่อถือกับผู้ใช้ที่ไม่มีสิทธิ์ชั่วคราวที่สามารถเขียนลง ramdisks ได้เท่านั้นไม่สามารถเพิ่มสิทธิ์ของฉันได้ ) โดยรวมแล้วเป็นความคิดที่ไม่ดีที่จะสมมติว่ารูปแบบการอนุญาตเฉพาะเช่น sudo หรือการมีอยู่ของ root หรือสมมติว่าผู้ใช้ sudoed มีสิทธิ์พิเศษใด ๆ

หากคุณต้องการทราบว่าคุณมีสิทธิ์ในการดำเนินการตามปกติวิธีที่ดีที่สุดคือการลองและทำมันจากนั้นตรวจสอบ errno สำหรับปัญหาการอนุญาตหากล้มเหลวหรือหากเป็นการดำเนินการหลายขั้นตอนที่ต้องล้มเหลวทั้งหมดหรือประสบความสำเร็จทั้งหมด คุณสามารถตรวจสอบว่าการทำงานจะทำงานกับฟังก์ชั่นเช่นฟังก์ชั่นการเข้าถึง POSIX หรือไม่ (โปรดระวังสภาวะการแข่งขันที่เป็นไปได้ที่นี่หากสิทธิ์มีการเปลี่ยนแปลงอย่างแข็งขัน)

หากคุณจำเป็นต้องรู้ผู้ใช้จริงหลัง sudo คุณสามารถใช้ฟังก์ชันgetloginซึ่งควรทำงานกับเซสชันแบบโต้ตอบใด ๆ ที่มีเทอร์มินัลพื้นฐานและจะช่วยให้คุณยกตัวอย่างเช่นค้นหาผู้ที่กำลังใช้คำสั่งสำหรับการตรวจสอบหรือค้นหา โฮมไดเร็กทอรีของผู้ใช้จริงเพื่อบันทึกบันทึก

ในที่สุดหากสิ่งที่คุณต้องการจริงๆคือการตรวจสอบว่าผู้ใช้มีการเข้าถึงรูท (ยังเป็นความคิดที่ไม่ดี แต่มีการใช้งานที่เฉพาะเจาะจงน้อยลง) คุณสามารถใช้getuidเพื่อตรวจสอบ uid ของ 0 และรูท

มีสองกลไกที่สามารถใช้ได้

• การตรวจสอบตัวแปรสภาพแวดล้อมสามารถปลอมได้ด้วยวิธีใดวิธีหนึ่ง แต่เป็นวิธีที่ง่ายที่สุด growisofsไม่ชอบทำงานภายใต้ SUDO ดังนั้นฉันจึงยกเลิกการตั้งค่าตัวแปร SUDO ในสคริปต์ที่ฉันใช้ มันสามารถแกล้งวิธีอื่น (ตัวแปร SUDO จะถูกนำไปยังสภาพแวดล้อมสำหรับสคริปต์ที่ทำงานภายใต้คำสั่ง at และ batch)
• อีกวิธีในการดูว่าคุณกำลังทำงานภายใต้ sudo หรือไม่คือการเดินรายการกระบวนการจากกระบวนการหลักของคุณเพื่อค้นหา sudo มันคงเป็นการยากที่จะซ่อนตัวว่าคุณกำลังวิ่งอยู่ภายใต้ sudo ด้วยวิธีนี้ แต่มีความซับซ้อนมากขึ้น ยังคงเป็นไปได้ที่จะปลอมว่าคุณกำลังทำงานภายใต้ sudo

เป็นเรื่องปกติที่จะตรวจสอบว่าคุณใช้งานอยู่ในฐานะผู้ใช้ที่เหมาะสมหรือไม่ idคำสั่งสามารถใช้ในการทำเช่นนี้ สคริปต์ของ TomOnTime ใช้idคำสั่งเพื่อพิจารณาว่าsudoอาจจำเป็นต้องเรียกใช้คำสั่งถัดไปหรือไม่

คุณสามารถเปรียบเทียบประสิทธิภาพกับ ID ผู้ใช้จริง

นี่ไม่ได้หมายความว่าจะใช้งานเลิกทำ sudo (อาจเป็น setuid'd ด้วย) แต่ระบุว่าโปรแกรมนั้นมีสิทธิ์มากกว่าที่ผู้ใช้คาดหวัง (ตัวอย่างเช่นในโปรแกรมที่ดำเนินการตามปกติโดยไม่มีสิทธิ์ดังกล่าว แต่จำเป็นต้องเรียกใช้กับพวกเขาในระหว่างการติดตั้งหรือเพื่อติดตั้งการปรับปรุงจากนั้นคุณสามารถใช้สิ่งนี้เพื่อให้คำติชมเตือนเกี่ยวกับเรื่องนั้น)

คุณสามารถตรวจสอบตัวแปร UID ที่มีประสิทธิภาพ (EUID) ได้ดังนี้:

if [[ $EUID -eq 0 ]]; then
    echo "running as root"
else
    echo "not running as root"
fi

คุณสามารถสัมผัสไฟล์ใน/rootแล้วif -eมัน และหาก -e เป็นจริงrm(ตรวจสอบรหัสข้อผิดพลาด) เพื่อให้การทดสอบของคุณใช้งานได้ในครั้งต่อไป

การตรวจสอบรหัสข้อผิดพลาด (หรือรหัสส่งคืน) หลังจากที่ rm ป้องกันบางคนจากการใช้อำนาจ sudo เพื่อสร้างไฟล์เพื่อเล่นตลกกับคุณ

ฉันพบว่ามันใช้งานได้ดีสำหรับสิ่งนี้

[ $(cat /proc/$PPID/loginuid) -ne 0 ] && [ "$USER" == "root" ]