Kullanıcının sudo ile çevreyi korumasına nasıl izin verilir?


17

Bazı ortam değişkenlerinin çalışırken yeni ortama geçmesine izin vermeye çalışırken aşağıdaki hatayı çalıştırıyorum sudo:

sudo: sorry, you are not allowed to preserve the environment

Hata ayıklamaya yardımcı olabilecek bazı bilgiler:

[deploy@worker1 ~]$ sudo -l
    Matching Defaults entries for deploy on this host:
    requiretty, !visiblepw, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET
    XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin, env_keep+="GIT_WORK_TREE GIT_DIR", !requiretty

User deploy may run the following commands on this host:
    (ALL) NOPASSWD: /usr/bin/git, (ALL) /etc/init.d/httpd*, (ALL) /sbin/service, (ALL) /usr/bin/make, (ALL) /bin/echo

Çalışan örneğim:

[deploy@worker1 ~]$ export GIT_DIR="/home/ashinn/testing"
[deploy@worker1 ~]$ sudo -E sh -c 'echo "$GIT_DIR"'
sudo: sorry, you are not allowed to preserve the environment

Bu özel yapılandırma için sudoers.d dosyam:

Defaults:deploy         env_keep += "GIT_WORK_TREE GIT_DIR", !requiretty
deploy  ALL=(ALL)       NOPASSWD: /usr/bin/git, /etc/init.d/httpd*, /sbin/service, /usr/bin/make, /bin/echo

Ben de !env_resetVarsayılanları eklemeyi denedim ve hala aynı hatayla başarısız. Bariz bir şeyi kaçırıyor ve ikinci bir göz setine ihtiyacım olabilir gibi hissediyorum. Burada ne eksik?


1
İnanıyorum ki, yaklaşık% 93'ümüz sorunuzun amacını anlıyor, ancak örnek komutunuz çok iyi değil.  , doğrudan başarısız olmazsa , kabuk önceden çağrıldığında bile komut satırındaki değişkeni genişlettiği için ön değerini görüntüler . Daha iyi testler ya da , ya da aslında ayrıcalıklı çalışan sürecin ortamına baktığımız yerdir. sudo (option(s)) echo $GIT_DIRsudo$GIT_DIRsudosudo printenv GIT_DIRsudo env | grep GIT_DIRsudo sh -c 'echo "$GIT_DIR"'
G-Man,

Ayrıca Yığın Taşması hakkındaki bu soruya bakın .
Franklin Yu

Yanıtlar:


27

Dosyanızdaki SETENV"Etiket" i aşağıdaki gibi kullanabilirsiniz sudoers:

deploy  ALL=(ALL)       SETENV: /usr/bin/git, /etc/init.d/httpd*, /sbin/service, /usr/bin/make, /bin/echo

Veya NOPASSWD ile birleştirmek için:

deploy  ALL=(ALL)       NOPASSWD:SETENV: /usr/bin/git, /etc/init.d/httpd*, /sbin/service, /usr/bin/make, /bin/echo

Sudo adamlarından ilgili alıntı:

SETENV ve NOSETENV

Bu etiketler, komut başına esasında setenv seçeneğinin değerini geçersiz kılar. Bir komut için SETENV ayarlanmışsa, kullanıcının env_reset seçeneğini -E seçeneği üzerinden komut satırından devre dışı bırakabileceğini unutmayın. Ayrıca, komut satırında set ortam değişkenleri dayattığı kısıtlamalara tabi değildir env_check, env_deleteya env_keep. Bu nedenle, yalnızca güvenilir kullanıcıların bu şekilde değişken ayarlamasına izin verilmelidir. Eşleşen komut TÜMÜ ise, bu komut için SETENV etiketi ima edilir; bu varsayılan NOSETENV etiketi kullanılarak geçersiz kılınabilir.


1

-ESeçeneği belirtmeyin . Kullanıcı -Eiçin tüm ortam değişkenlerinin deploysadece korunması değilGIT_DIR

Koşu sudo echo $GIT_DIReklediğiniz çünkü çalışmalıdır GIT_DIRiçin env_keeplistede

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.