ไม่สนใจ sudo ในสคริปต์ทุบตี

ฉันมีสคริปต์ทุบตีขนาดเล็ก:

#!/bin/bash

touch dummy.txt

ถ้าผมรันสคริปต์นี้กับsudoแล้วมันจะสร้างdummy.txtซึ่งจะเป็นรากที่มีการป้องกัน

สิ่งที่ฉันต้องการจะทำคือ:

ไม่ว่าสคริปต์นี้จะถูกเรียกใช้โดยใช้sudoหรือผู้ใช้ปกติไฟล์ไม่dummy.txtควรได้รับการป้องกัน

คุณสามารถทดสอบว่าสคริปต์นั้นถูกเรียกใช้ผ่านการsudoใช้EUIDและSUDO_USERตัวแปรแล้วดำเนินการtouchราวกับSUDO_USERว่าเป็นจริง - บางอย่างเช่น

#!/bin/bash

if [[ $EUID -eq 0 ]] && [[ -n $SUDO_USER ]]; then
  sudo -u "$SUDO_USER" touch dummy.txt
else
  touch dummy.txt
fi

หากสคริปต์ของคุณไม่ได้ถูกเรียกใช้เป็นrootวิธีที่ปลอดภัยที่สุดในการแก้ปัญหาคือยกเลิกการทำงานของสคริปต์ในตอนเริ่มต้น:

if [ "$EUID" = 0 ]; then
   echo "This script must NOT be run as root" 
   exit 1
fi

คุณสามารถเรียกใช้สคริปต์ของคุณอีกครั้งในฐานะผู้ใช้ทางเลือก (เช่นsudo -u FALLBACK_USER "$0") แทนที่จะยกเลิกเพียงแค่

การพยายามแก้ไข quirks ของแต่ละคำสั่งจะทำให้สคริปต์ของคุณซับซ้อนและไม่สามารถดีบักได้ยาก ทุกครั้งที่คุณแก้ไขคุณจะต้องทำการทดสอบทั้งหมดสองครั้ง (ในฐานะผู้ใช้ทั่วไปจากนั้นเป็นroot) และแก้ไขrootข้อบกพร่องที่เกี่ยวข้องทั้งหมดที่เกิดขึ้น มันไม่ใช่วิธีแก้ปัญหาที่จะเกิดขึ้นในอนาคต

ตามค่าเริ่มต้นไฟล์ที่สร้างด้วยรูทเสียงจะมีการอนุญาตดังนี้:

-rw-r--r-- 1 root root 0 11月 17 23:25 rootfile.txt

ที่นี่ไฟล์เป็นของผู้ใช้รูทและกลุ่มรูทและสามารถอ่านและเขียนได้โดยรูท แต่ผู้อื่นสามารถอ่านได้

วิธีที่ง่ายที่สุดจะเป็นchownไฟล์กลับไปยังผู้ใช้เดิม

chown username:group_name dummy.txt

คุณสามารถใช้$SUDO_USERตัวแปรที่สามารถเข้าถึงได้ก็ต่อเมื่อsudoถูกเรียกเช่น:

chown "$SUDO_USER":"$SUDO_USER" dummy.txt

หากคุณใช้งานสคริปต์ในฐานะผู้ใช้ทั่วไปchownไม่จำเป็นต้องใช้ส่วนใด ๆ ดังนั้นคุณอาจต้องการใช้ if-statement หรือ&&test เพื่อทดสอบกรณีและปัญหาเมื่อสคริปต์ทำงานเป็นรูทและทำบางอย่างตามบรรทัดเหล่านี้:

#!/bin/bash
touch dummy.txt
[ $UID -eq 0 ] && chown "$SUDO_USER":"$SUDO_USER" dummy.txt

แนะนำวิธีการข้างต้น มีผู้อื่นเช่นใช้chmodเพื่อเปลี่ยนสิทธิ์อ่าน - เขียน - ดำเนินการสำหรับผู้ใช้และกลุ่ม แต่ไม่แนะนำ