Bir program sudo altında çalıştırıldığını söyleyebilir mi?

"Sudo" altında çalıştırılıyorsa, farklı davranması gereken bir program var. Sudo'da çalıştırılıp çalıştırılmadığını öğrenmenin bir yolu var mı?

Güncelleme: Birisi neden bunu yapmak istediğimi sordu. Bu durumda, MacPorts kullanan bir Mac'te, belirli bir komutu kesip yapıştırmanızı söyleyen bir çıktı vardır. MacPorts komutu "sudo" ile çalıştırıldıysa, sample komutuna sudo içermelidir:

$ sudo port selfupdate 
--->  Updating MacPorts base sources using rsync
MacPorts base version 2.2.1 installed,
MacPorts base version 2.2.1 downloaded.
--->  Updating the ports tree
--->  MacPorts base is already the latest version

The ports tree has been updated. To upgrade your installed ports, you should run
  port upgrade outdated

^^^^^^^^^ it would be really sweet if it output "sudo port upgrade outdated" instead.  It would be even better if it just did it for you :-)

Evet, bir program sudo altında çalışırken ayarlanan 4 çevre değişkeni vardır:

$ sudo env |grep SUDO
SUDO_COMMAND=/usr/bin/env
SUDO_USER=tal
SUDO_UID=501
SUDO_GID=20

Bunlara basitçe ayarlayarak sahte olabileceğini unutmayın. Kritik bir şey için onlara güvenme.

Örneğin: Bu programda, kullanıcıya başka bir programı çalıştırmasını söylememiz gerekir. Geçerli olanı sudo ile çalıştırıldıysa, diğeri de olacaktır.

#!/bin/bash

echo 'Thank you for running me.'

if [[ $(id -u) == 0 ]]; then
  if [[ -z "$SUDO_COMMAND" ]]; then
    echo 'Please now run: next_command'
  else
    echo 'Please now run: sudo next_command'
  fi
else  echo 'Error: Sadly you need to run me as root.'
  exit 1
fi

Yalnızca SUDO_ * değişkenini test ettiğini, önce root olarak çalıştığını kanıtlayabildiğini unutmayın. O zaman bile sadece bazı yararlı metinleri değiştirmek için kullanır.

Bu, doğrudan soruyu yanıtlamıyor ancak doğru sorunun burada sorulduğunu sanmıyorum. Bana göre, asker belli izinleri varsa veya olmasa da muhtemelen farklı davranacak bir program istiyor, ancak sudo'yu kontrol etmenin böyle bir yol olmadığını iddia ediyorum. Öncelikle birçok sistem bir "sudo" uygulayamayabilir, Linux ya da birçok Unix için gerekli değildir.

Örneğin, bir kullanıcı önceden kök olarak giriş yapmış olabilir, sudo'yu sansürsüz hale getirebilir ya da belki de sistem, programın yapmak isteyebileceği idari görevi yerine getirme yeteneğine sahip olmayan kök kullanıcılara sahiptir. Sonunda, belki de sistemde kök veya sudo yoktur ve bunun yerine, farklı yeteneklere sahip zorunlu bir erişim kontrol sistemi kullanır ve sudo yapmak için tüm süper kullanıcıları yakalamaz. Ya da kullanıcı gizlice ayrılabilir, ancak güvenlik nedeniyle kendi hesabından daha az izni olan bir hesaba girebilir (Sık sık güvenilmeyen bir kodla, geçici olarak ayrıcalıklı olmayan bir kullanıcı ile yalnızca ramdisklere yazmak için yazabilirim, izinlerimi yükseltmeyebilirim. ). Genel olarak sudo ya da kökün varlığı gibi belirli bir izinler modelini varsaymak ya da sudo bir kullanıcının herhangi bir özel ayrıcalıklara sahip olduğunu varsaymak kötü bir fikirdir.

Bir işlemi gerçekleştirmek için izniniz olup olmadığını öğrenmek istiyorsanız, en iyi yol genellikle basitçe denemek ve yapmaktır. Ardından, başarısız olursa veya başarılı veya tamamen başarılı olması gereken çok aşamalı bir işlemse, izin sorunları olup olmadığını kontrol edin. Bir operasyonun POSIX erişim fonksiyonu gibi fonksiyonlarla çalışıp çalışmadığını kontrol edebilirsiniz (izinler aktif olarak değiştiriliyorsa burada olası yarış koşullarına dikkat edin)

Ek olarak, sudo'nun arkasındaki gerçek kullanıcıyı tanımanız gerekiyorsa, altta yatan bir uçbirim ile herhangi bir etkileşimli oturum için çalışması gereken getlogin işlevini kullanabilirsiniz ve örneğin, denetleme için komutu çalıştırmanın veya "kimin buldığını " bulmanızı sağlar. günlükleri kaydetmek için gerçek kullanıcının ana dizini.

Son olarak, gerçekte istediğiniz şey bir kullanıcının root erişimine sahip olup olmadığını bulmaksa (Yine de kötü bir fikir ama daha az uygulamaya özel) getuid'i 0 bir kullanıcı kimliği olup olmadığını kontrol etmek için kullanabilirsiniz .

Kullanılabilecek iki mekanizma var.

• Ortam değişkenlerini kontrol etmek her iki şekilde de yapılabilir, ancak yapılması en kolay yoldur. growisofsSUDO altında çalışmayı sevmediğim için SUDO değişkenlerini kullandığım betiklerde ayarlarım. Diğer şekilde numaralandırılabilir. (SUDO değişkeni, at ve toplu komutların altında çalışan komut dosyaları için de ortama taşınır.)
• Sudo altında çalışıp çalışmadığınızı görmenin başka bir yolu da, sudo aradığınız süreçten ana süreçten yürümektir. Bu şekilde sudo altında çalıştığını gizlemek zor olurdu, ama daha karmaşık. Suçlu altında koşarken taklit etmek hala mümkün.

Uygun kullanıcı olarak çalışıp çalışmadığınızı kontrol etmek daha yaygındır. idKomut Bunu yapmak için de kullanılabilir. TomOnTime komut dosyası , bir sonraki komutu çalıştırmak idgerekip sudogerekmediğini belirlemek için komutu kullanır .

Etkili ve gerçek kullanıcı kimliğini karşılaştırabilirsiniz.

Bu kesinlikle sudo çalıştığını anlamına gelmez (ayrıca ayarlanabilir), ancak programın kullanıcının beklediğinden daha fazla hakka sahip olduğunu gösterir. (örneğin, normalde bu haklar olmadan yürütülen, ancak yükleme sırasında ya da güncellemeleri yüklemek için onlarla çalıştırılması gereken bir programda. Sonra, bu konuda bazı geri bildirimler vermek için bunu kullanabilirsiniz).

Etkili UID (EUID) değişkenini aşağıdaki gibi kontrol edebilirsiniz:

if [[ $EUID -eq 0 ]]; then
    echo "running as root"
else
    echo "not running as root"
fi

Bir dosyaya /rootve sonra if -eona dokunabilirsiniz . Ve eğer -e doğruysa rm(hata kodunu kontrol ederek), böylece testiniz bir dahaki sefere çalışır.

Rm'den sonra hata kodunu (veya dönüş kodunu) kontrol etmek, birinin size eşek şakası yapmak üzere dosyayı oluşturmak için sudo güçlerini kolayca kullanmasını önler.

Bunun bunun için iyi çalıştığını buldum

[ $(cat /proc/$PPID/loginuid) -ne 0 ] && [ "$USER" == "root" ]