วิธีการรันโปรแกรมเฉพาะในฐานะรูทโดยไม่ต้องใส่รหัสผ่าน?

ฉันจำเป็นต้องเรียกใช้บางสิ่งบางอย่างเป็น sudo โดยไม่ต้องใช้รหัสผ่านดังนั้นฉันจึงใช้visudoและเพิ่มลงในsudoersไฟล์ของฉัน:

MYUSERNAME ALL = NOPASSWD: /path/to/my/program

จากนั้นฉันก็ลองดู:

$ sudo /path/to/my/program
[sudo] password for MYUSERNAME: 

ทำไมถึงถามรหัสผ่าน? ฉันจะรัน / ใช้คำสั่งในฐานะรูทกับผู้ใช้ที่ไม่ใช่รูทโดยไม่ต้องขอรหัสผ่านได้อย่างไร

คุณมีรายการอื่นในsudoersไฟล์ที่ตรงกับผู้ใช้ของคุณ NOPASSWDกฎจะต้องหลังจากที่หนึ่งในเพื่อให้มันมีความสำคัญ

หลังจากทำเช่นนั้นแล้วsudoจะถามรหัสผ่านตามปกติสำหรับคำสั่งทั้งหมดยกเว้น/path/to/my/programซึ่งจะช่วยให้คุณสามารถทำงานได้โดยไม่ต้องขอรหัสผ่าน

หากมีรายการที่ตรงกันหลายรายการใน/etc/sudoerssudo ใช้รายการสุดท้าย ดังนั้นหากคุณสามารถดำเนินการคำสั่งใด ๆ ด้วยการแจ้งให้รหัสผ่านและคุณต้องการที่จะสามารถดำเนินการคำสั่งเฉพาะโดยไม่ต้องแจ้งให้รหัสผ่านที่คุณต้องการข้อยกเว้นที่ผ่านมา

myusername ALL = (ALL) ALL
myusername ALL = (root) NOPASSWD: /path/to/my/program

หมายเหตุการใช้(root)เพื่ออนุญาตให้โปรแกรมรันในฐานะ root แต่ไม่เหมือนกับผู้ใช้รายอื่น (อย่าให้สิทธิ์มากกว่าที่จำเป็นขั้นต่ำเว้นแต่คุณจะคิดถึงความหมายโดยนัย)

หมายเหตุสำหรับผู้อ่านที่ไม่ได้ใช้งาน Ubuntu หรือเปลี่ยนการตั้งค่า sudo เป็นค่าเริ่มต้น (sudo ของ Ubuntu นั้นใช้ได้โดยค่าเริ่มต้น) : การเรียกใช้สคริปต์เชลล์ที่มีสิทธิ์ในการยกระดับมีความเสี่ยงคุณต้องเริ่มจากสภาพแวดล้อมที่สะอาด มันสายเกินไป (ดูที่อนุญาตให้ setuid บนเชลล์สคริปต์ ) ดังนั้นคุณต้องใช้ sudo เพื่อดูแลสิ่งนั้น) ตรวจสอบให้แน่ใจว่าคุณมีDefaults env_resetใน/etc/sudoersหรือว่าตัวเลือกนี้เป็นค่าเริ่มต้นเวลารวบรวม ( sudo sudo -V | grep envควรมีReset the environment to a default set of variables)

คำเตือน : คำตอบนี้ถือว่าไม่ปลอดภัย ดูความคิดเห็นด้านล่าง

โซลูชันที่สมบูรณ์:ขั้นตอนต่อไปนี้จะช่วยให้คุณได้ผลลัพธ์ที่ต้องการ:

1. สร้างไฟล์สคริปต์ใหม่ (แทนที่create_dir.shด้วยชื่อสคริปต์ที่คุณต้องการ):

   vim ~/create_dir.sh
   

   สคริปต์จะถูกสร้างขึ้นในไดเรกทอรีบ้านของผู้ใช้

2. เพิ่มคำสั่งบางอย่างที่ผู้ใช้rootหรือsudoผู้ใช้เท่านั้นที่สามารถดำเนินการได้เช่นการสร้างโฟลเดอร์ที่ระดับไดเรกทอรีราก:

   mkdir /abc
   

   หมายเหตุ:อย่าเพิ่มsudoคำสั่งเหล่านี้ บันทึกและออก (โดยใช้:wq!)

3. กำหนดสิทธิ์ดำเนินการให้กับมันโดยใช้:

   sudo chmod u+x create_dir.sh
   

4. ทำการเปลี่ยนแปลงเพื่อให้สคริปต์นี้ไม่ต้องใช้รหัสผ่าน

   1. เปิดsudoersไฟล์:

      sudo visudo -f /etc/sudoers
      

   2. เพิ่มบรรทัดต่อไปนี้ในตอนท้าย:

      ahmad ALL=(root) NOPASSWD: /home/ahmad/create_dir.sh
      

      แทนที่ahmadด้วยชื่อผู้ใช้ของคุณ ตรวจสอบให้แน่ใจว่านี่เป็นบรรทัดสุดท้าย บันทึกและออก.

5. ตอนนี้เมื่อรันคำสั่งเพิ่มsudoก่อนหน้าเช่น:

   sudo ./create_dir.sh
   

   สิ่งนี้จะรันคำสั่งภายในไฟล์สคริปต์โดยไม่ต้องขอรหัสผ่าน

ทำตามขั้นตอนง่าย ๆ ที่กล่าวถึงที่นี่http://step4wd.com/2013/09/14/run-root-commands-in-linux-ubuntu-without-password/

ฉันคิดว่าไวยากรณ์ของคุณผิด อย่างน้อยฉันก็ใช้สิ่งต่อไปนี้ที่ใช้ได้กับฉัน:

myusername ALL=(ALL) NOPASSWD: /path/to/executable

หากคุณต้องการหลีกเลี่ยงการใช้ sudo และไม่ต้องเปลี่ยนไฟล์ sudoers config คุณสามารถใช้:

sudo chown root:root path/to/command/COMMAND_NAME
sudo chmod 4775 path/to/command/COMMAND_NAME

สิ่งนี้จะทำให้คำสั่งรันเป็นรูทโดยไม่จำเป็นต้องใช้ sudo

หากคุณมี distro เช่น Manjaro คุณต้องจัดการกับไฟล์ที่แทนที่คำจำกัดความของ / etc / sudoers ก่อนคุณสามารถลบหรือทำงานกับไฟล์นั้นโดยตรงเพื่อเพิ่มการกำหนดค่าใหม่ของคุณ

ไฟล์นี้คือ:

sudo cat /etc/sudoers.d/10-installer

วิธีเดียวที่จะเห็นมันอยู่ภายใต้สิทธิพิเศษของรูทคุณไม่สามารถแสดงรายการไดเร็กตอรี่นี้โดยไม่ได้ไฟล์นี้เป็นไฟล์เฉพาะของ Manjaro คุณอาจพบการกำหนดค่านี้ด้วยชื่ออื่น แต่ในไดเรกทอรีเดียวกัน

ในไฟล์ที่คุณเลือกคุณสามารถเพิ่มบรรทัดต่อไปนี้เพื่อรับการกำหนดค่าที่คุณต้องการ:

ละเว้นการรับรองความถูกต้องสำหรับกลุ่ม

%group ALL=(ALL) NOPASSWD: ALL

หรือละเว้นการรับรองความถูกต้องสำหรับผู้ใช้

youruser ALL=(ALL) NOPASSWD: ALL

หรือละเว้นการรับรองความถูกต้องที่สามารถเรียกใช้งานได้สำหรับผู้ใช้ที่ระบุ

youruser ALL=(ALL) NOPASSWD: /path/to/executable

บันทึกย่ออย่างรวดเร็ว: คุณกำลังเปิดประตูให้ใช้ SUDO โดยไม่ต้องมีการตรวจสอบสิทธิ์ซึ่งหมายความว่าคุณสามารถเรียกใช้ทุกอย่างที่แก้ไขทุกอย่างจากระบบของคุณใช้งานด้วยความรับผิดชอบ

ตรวจสอบว่า sudo ไม่ได้ใช้นามแฝง ทำงานแบบนี้

/usr/bin/sudo /path/to/my/program

ตัวอย่างเช่นนามแฝงของเชลล์เช่นนี้:

alias sudo="sudo env PATH=$PATH"

อาจทำให้เกิดพฤติกรรมนี้

sudo /path/to/my/scriptเมื่อคุณรันสคริปต์ของคุณคุณจำเป็นต้องเรียกว่ามันเป็น

แก้ไข:จากความคิดเห็นของคุณเป็นคำตอบอื่นคุณต้องการเรียกใช้จากไอคอน คุณจะต้องสร้าง.desktopไฟล์ที่เรียกใช้งานโปรแกรมของคุณด้วย sudo เหมือนกับที่เทอร์มินัล

คุณสามารถลองใช้gtk-sudoรหัสผ่านแบบเห็นภาพได้

คุณควรพิจารณาความคิดที่ว่าคุณไม่ควรเรียกใช้สิ่งต่าง ๆ ในฐานะรูทและการเปลี่ยนระบบไปตามถนนเพื่อให้คุณไม่ต้องใช้สิทธิ์รูทเลยจะเป็นวิธีที่ดีกว่า

วิธีนี้แก้ไขปัญหาสำหรับฉัน (ลองคำตอบอื่น ๆ ซึ่งอาจช่วยได้):

สคริปต์ที่ฉันเรียกนั้นอยู่ใน/usr/binไดเรกทอรีที่ฉันไม่มีสิทธิ์เขียน (แม้ว่าโดยปกติฉันจะสามารถอ่านไฟล์ใด ๆ ที่นั่น) สคริปต์ถูก chmodded + x (อนุญาตให้ใช้งานได้) แต่ก็ยังใช้งานไม่ได้ การย้ายไฟล์นี้ไปยังพา ธ ในโฮมไดเร็กตอรี่ของฉัน, แทน/usr/bin, ในที่สุดฉันก็สามารถเรียกมันด้วย sudo โดยไม่ต้องป้อนรหัสผ่าน.

สิ่งที่ฉันสงสัยเกี่ยวกับ (ชี้แจงสำหรับผู้อ่านในอนาคต): คุณต้องเรียกใช้สคริปต์ของคุณเป็น sudo พิมพ์sudoเมื่อเรียกสคริปต์ อย่าใช้sudoสำหรับคำสั่งในสคริปต์ของคุณที่ต้องการรูท (การเปลี่ยนแบ็คไลท์คีย์บอร์ดในกรณีของฉัน) บางทีมันอาจใช้งานได้ แต่คุณไม่จำเป็นต้องทำและดูเหมือนจะเป็นวิธีแก้ปัญหาที่ดีกว่า

ความเป็นไปได้อีกอย่างหนึ่งคือการติดตั้งกำหนดค่าจากนั้นใช้คำสั่งsuperเพื่อเรียกใช้สคริปต์ของคุณ

super /path/to/your/script

หากคุณต้องการที่จะทำงานบางไบนารีปฏิบัติการ (เช่นที่คุณได้เรียบเรียงเป็นเอลฟ์ไบนารีจากซอร์สโค้ด C บางคน) -which คือไม่ script- เป็นรากคุณอาจพิจารณาการทำมันsetuid (และที่จริง/bin/login, /usr/bin/sudoและ/bin/suและsuperทั้งหมดใช้เทคนิคที่ ) อย่างไรก็ตามระวังให้ดีคุณสามารถเปิดช่องโหว่ขนาดใหญ่ได้

โปรแกรมของคุณควรเขียนโปรแกรมแบบ Paranoically (ดังนั้นให้ตรวจสอบข้อโต้แย้งทั้งหมดและสภาพแวดล้อมและเงื่อนไขภายนอกก่อนที่ "ทำหน้าที่" โดยถือว่าเป็นผู้ใช้ที่อาจเป็นปฏิปักษ์) จากนั้นคุณสามารถใช้seteuid (2)และเพื่อน ๆ (ดูsetreuid (2) ) อย่างระมัดระวัง (ดูเพิ่มเติมที่ความสามารถ (7) & ข้อมูลรับรอง (7) & execve (2) ... )

คุณจะใช้chmod u+s(อ่านchmod (1) ) เมื่อติดตั้งไบนารีดังกล่าว

แต่ต้องระวังให้มาก

อ่านสิ่งต่าง ๆ เกี่ยวกับsetuidรวมถึงการเขียนโปรแกรม Linux ขั้นสูงก่อนเขียนโค้ดดังกล่าว

ขอให้สังเกตว่าสคริปต์หรือใด ๆshebangสิ่ง -ed ไม่สามารถ setuid แต่คุณสามารถเขียนโค้ด (ใน C) setuid-binary ขนาดเล็กได้

เป็นการดีถ้าคุณกำลังปรับแต่งคำสั่งที่สามารถเรียกใช้ผ่านsudoคุณควรทำการเปลี่ยนแปลงเหล่านี้ในไฟล์แยกต่างหากภายใต้/etc/sudoers.d/แทนการแก้ไขsudoersไฟล์โดยตรง คุณควรใช้visudoเพื่อแก้ไขไฟล์เสมอ คุณไม่ควรให้NOPASSWDในALLคำสั่ง

ตัวอย่าง: sudo visudo -f /etc/sudoers.d/mynotriskycommand

แทรกการอนุญาตให้ใช้สายของคุณ: myuser ALL= NOPASSWD: /path/to/your/program

จากนั้นบันทึกและออกและvisudoจะเตือนคุณหากคุณมีข้อผิดพลาดทางไวยากรณ์

คุณสามารถเรียกใช้sudo -lเพื่อดูสิทธิ์ที่ผู้ใช้ของคุณได้รับหากNOPASSWDคำสั่งใด ๆ ของผู้ใช้ปรากฏขึ้นก่อน%groupyouarein ALL=(ALL) ALLคำสั่งใด ๆในผลลัพธ์ที่คุณจะได้รับพร้อมท์สำหรับรหัสผ่านของคุณ

หากคุณพบว่าคุณสร้างไฟล์ sudoers.d เหล่านี้จำนวนมากคุณอาจต้องการสร้างชื่อต่อผู้ใช้เพื่อให้มองเห็นได้ง่ายขึ้น โปรดทราบว่าการเรียงลำดับชื่อไฟล์และกฎภายในไฟล์นั้นมีความสำคัญอย่างยิ่งการโหลดล่าสุดหนึ่งรายการชนะไม่ว่าจะเป็นมากกว่าหรือน้อยกว่ารายการก่อนหน้า

คุณสามารถควบคุมการเรียงลำดับชื่อไฟล์โดยใช้คำนำหน้าเป็น 00-99 หรือ aa / bb / cc แต่โปรดจำไว้ว่าหากคุณมีไฟล์ใด ๆ ที่ไม่มีคำนำหน้าเป็นตัวเลขพวกเขาจะโหลดหลังจากไฟล์ที่มีหมายเลขกำกับ การตั้งค่า นี่เป็นเพราะขึ้นอยู่กับการตั้งค่าภาษาของคุณ "การเรียงคำศัพท์" เชลล์ใช้หมายเลขเรียงลำดับก่อนแล้วจึงอาจแทรกส่วนบนและส่วนล่างเมื่อเรียงลำดับ "เรียงจากน้อยไปมาก"

ลองใช้printf '%s\n' {{0..99},{A-Z},{a-z}} | sortและprintf '%s\n' {{0..99},{A-Z},{a-z}} | LANG=C sortเพื่อดูว่าพิมพ์ภาษาปัจจุบันของคุณAaBbCcฯลฯ หรือABCแล้วabcเพื่อตรวจสอบสิ่งที่ดีที่สุด "ล่าสุด" คำนำหน้าตัวอักษรที่จะใช้จะเป็น

เพื่อให้ผู้ใช้สามารถรันโปรแกรมเป็น sudo โดยไม่ต้องถามรหัสผ่านคุณสามารถเพิ่มบรรทัดต่อไปนี้

%sudo ALL=(root) NOPASSWD: /path/to/your/program

ใน /etc/sudoers

โปรดทราบว่า% sudoสร้างมันขึ้นมา

ต่อไปนี้จะเป็นกรณีที่คุณต้องการที่จะเรียกใช้คำสั่งโดยไม่ต้องใช้รหัสผ่านเท่านั้นถ้ามันมีเฉพาะชุดของตัวเลือกที่เป็นส่วนหนึ่งในตัวเลือกที่เป็นตัวแปร AFAIK ไม่สามารถใช้ตัวแปรหรือช่วงค่าในการประกาศ sudoers เช่นคุณสามารถอนุญาตการเข้าถึงอย่างชัดเจนcommand option1แต่ไม่ได้command option2ใช้:

user_name ALL=(root) /usr/bin/command option1

แต่ถ้าโครงสร้างcommand option1 value1ที่value1สามารถแตกต่างกันคุณจะต้องมีอย่างชัดเจน sudoers value1สายสำหรับแต่ละค่าเป็นไปได้ของ เชลล์สคริปต์ให้วิธีแก้ไข

คำตอบนี้ได้แรงบันดาลใจจากคำตอบของ M. Ahmad Zafar และแก้ไขปัญหาความปลอดภัยที่นั่น

1. sudoสร้างเชลล์สคริปต์ที่คุณโทรสั่งได้โดยไม่ต้อง
2. บันทึกสคริปต์ในโฟลเดอร์ที่มีสิทธิ์ใช้งานรูท (เช่น/usr/local/bin/) สร้างไฟล์ให้เป็นเจ้าของรูท (เช่นchown root:wheel /usr/local/bin/script_name) โดยไม่มีสิทธิ์การเขียนสำหรับผู้อื่น (เช่นchmod 755 /usr/local/bin/script_name)

3. เพิ่มข้อยกเว้นให้กับ sudoers โดยใช้ visudo:

   user_name ALL=(root) NOPASSWD: /usr/local/bin/script_name.

4. sudo script_nameเรียกใช้สคริปต์ของคุณ

ตัวอย่างเช่นฉันต้องการเปลี่ยนการหมดเวลาแสดงการนอนหลับบน macOS สิ่งนี้ทำได้โดยใช้:

sudo pmset displaysleep time_in_minutes

ฉันคิดว่าการเปลี่ยนการหมดเวลาของการนอนหลับเป็นการกระทำที่ไร้เดียงสาที่ไม่ได้สร้างความยุ่งยากให้กับการพิมพ์รหัสผ่าน แต่pmsetสามารถทำสิ่งต่าง ๆ ได้หลายอย่างและฉันต้องการเก็บสิ่งอื่น ๆ เหล่านี้ไว้เบื้องหลังรหัสผ่าน sudo

ดังนั้นฉันมีสคริปต์ต่อไปนี้ที่/usr/local/bin/ds:

#!/bin/bash
if [ $# -eq 0 ]; then
        echo 'To set displaysleep time, run "sudo ds [sleep_time_in_minutes]"'
else
        if [[ $1 =~ ^([0-9]|[1-9][0-9]|1[0-7][0-9]|180)$ ]]; then
                pmset displaysleep $1 
        else
                echo 'Time must be 0..180, where 0 = never, 1..180 = number of minutes'
        fi
fi

ในตอนท้ายของsudoersไฟล์ฉันมีบรรทัดต่อไปนี้:

user_name ALL=(root) NOPASSWD: /usr/local/bin/ds

หากต้องการตั้งค่าการหมดเวลาเป็น 3 นาทีฉันจะเรียกใช้สคริปต์จากบัญชีผู้ใช้ทั่วไปuser_name:

sudo ds 3

ป.ล. สคริปต์ส่วนใหญ่ของฉันคือการตรวจสอบความถูกต้องของอินพุตซึ่งไม่บังคับดังนั้นสิ่งต่อไปนี้จะใช้ได้:

#!/bin/bash
pmset displaysleep $1