Parola istemi olmadan belirli bir program root olarak nasıl çalıştırılır?

Parola olmadan sudo olarak bir şey çalıştırmam gerekiyor, bu yüzden bunu kullandım visudove dosyama ekledim sudoers:

MYUSERNAME ALL = NOPASSWD: /path/to/my/program

Sonra denedim:

$ sudo /path/to/my/program
[sudo] password for MYUSERNAME: 

Neden şifre istiyor? Parola istemeden, komutları root olmayan bir kullanıcıyla root olarak nasıl çalıştırabilirim / kullanabilirim?

sudoersDosyada, kullanıcıyla da eşleşen başka bir girişiniz var . NOPASSWDKural öncelik almak için sırayla ondan sonra olması gerekir.

Bunu yaptıktan sonra, sudonormalde tüm komutlar için normalde bir şifre /path/to/my/programister, şifrenizi sormadan her zaman koşmanıza izin verir.

/etc/sudoersİçinde birden fazla eşleşen giriş varsa , sudo sonuncusunu kullanır. Bu nedenle, bir şifre istemi ile herhangi bir komutu çalıştırabilirseniz ve şifre istemi olmadan belirli bir komutu çalıştırabilmek istiyorsanız, son istisnaya ihtiyacınız vardır.

myusername ALL = (ALL) ALL
myusername ALL = (root) NOPASSWD: /path/to/my/program

Kullanımına dikkat (root)programı diğer kullanıcıları olarak root olarak değil izin vermek. (Etkilerini düşünmediğiniz sürece gerekli olandan daha fazla izin vermeyin.)

Ubuntu kullanmayan veya varsayılan sudo yapılandırmasını değiştiren okuyucular için not (Varsayılan olarak Ubuntu sudo normaldir) : Kabuk betiğinin yükseltilmiş ayrıcalıklara sahip olması risklidir, temiz bir ortamdan başlamanız gerekir (bir kez kabuk başladığında, çok geç oldu (bkz . Kabuk betiklerinde setuid'e izin verin ), bu yüzden bunun için dikkat etmeniz gerekiyor) Eğer olduğundan emin olun Defaults env_resetbölgesi /etc/sudoersveya bu seçenek (derleme zamanı varsayılan olduğunu sudo sudo -V | grep enviçermelidir Reset the environment to a default set of variables).

UYARI : Bu cevap güvensiz kabul edildi. Aşağıdaki yorumları görün

Komple Çözüm: Aşağıdaki adımlar istenen çıktıyı elde etmenize yardımcı olacaktır:

1. Yeni bir komut dosyası oluşturun ( create_dir.shistediğiniz komut dosyası adıyla değiştirin ):

   vim ~/create_dir.sh
   

   Betik kullanıcının giriş dizininde oluşturulacak

2. Kök dizin düzeyinde bir klasör oluşturmak gibi yalnızca bir kullanıcının rootveya sudokullanıcının uygulayabileceği bazı komutları ekleyin :

   mkdir /abc
   

   Not:sudo Bu komutlara ekleme . Kaydet ve çık (kullanarak :wq!)

3. Aşağıdakileri kullanarak yürütme izinleri atayın:

   sudo chmod u+x create_dir.sh
   

4. Değişiklikleri yapın, böylece bu komut dosyası bir şifre gerektirmez.

   1. sudoersDosyayı aç :

      sudo visudo -f /etc/sudoers
      

   2. Sonuna aşağıdaki satırı ekleyin:

      ahmad ALL=(root) NOPASSWD: /home/ahmad/create_dir.sh
      

      ahmadKullanıcı adınız ne olursa olsun ile değiştirin . Ayrıca bunun son satır olduğundan emin olun. Kaydet ve çık.

5. Şimdi komutu çalıştırırken eklediğiniz sudogibi ekleyin :

   sudo ./create_dir.sh
   

   Bu, şifre sormadan komut dosyasındaki komutları çalıştıracaktır.

Burada belirtilen kolay adımları izleyin http://step4wd.com/2013/09/14/run-root-commands-in-linux-ubuntu-without-password/

Bence sentaksın yanlış. En azından benim için çalışan aşağıdakileri kullanıyorum:

myusername ALL=(ALL) NOPASSWD: /path/to/executable

Sudo kullanmak veya sudoers config dosyasını değiştirmek zorunda kalmaktan kaçınmak istiyorsanız, şunları kullanabilirsiniz:

sudo chown root:root path/to/command/COMMAND_NAME
sudo chmod 4775 path/to/command/COMMAND_NAME

Bu, komutu sudoya gerek duymadan root olarak çalıştırır.

Manjaro gibi bir dağıtımınız varsa, önce / etc / sudoers tanımını geçersiz kılan bir dosyayla ilgilenmelisiniz, yeni yapılandırmalarınızı eklemek için dosyayı silebilir veya doğrudan bu dosyayla çalışabilirsiniz.

Bu dosya:

sudo cat /etc/sudoers.d/10-installer

Görmenin SADECE yolu kök ayrıcalıkları altında, bu dizini onsuz listeleyemezsiniz, bu dosya Manjaro'ya özgüdür, bu yapılandırmayı başka bir adla fakat aynı dizinde bulabilirsiniz.

İstediğiniz dosyaya, istediğiniz konfigürasyonları almak için aşağıdaki satırları ekleyebilirsiniz:

Bir grup için kimlik doğrulamasını yoksay

%group ALL=(ALL) NOPASSWD: ALL

veya Bir kullanıcının kimlik doğrulamasını yoksay

youruser ALL=(ALL) NOPASSWD: ALL

veya Kimlik doğrulamasını yoksay, belirli bir kullanıcı için yürütülebilir bir dosya

youruser ALL=(ALL) NOPASSWD: /path/to/executable

HIZLI NOT: SUDO'yu onaylamadan kullanmak için bir kapı açıyorsunuz, yani sisteminizdeki her şeyi değiştiren her şeyi çalıştırabilir, sorumlulukla kullanabilirsiniz.

Sudo'nun takma olmadığını doğrulayın. Böyle koş

/usr/bin/sudo /path/to/my/program

Örneğin bunun gibi bir kabuk takma adı:

alias sudo="sudo env PATH=$PATH"

bu davranışa neden olabilir.

Komut dosyanızı yürütürken, olarak çalıştırmanız gerekir sudo /path/to/my/script.

Düzenleme: Başka bir cevaba yaptığınız yorumunuza dayanarak, bunu bir simgeden çalıştırmak istersiniz. .desktopTıpkı terminaldeki gibi, programınızı sudo ile yürüten bir dosya oluşturmanız gerekecektir .

Ayrıca gtk-sudogörsel bir şifre istemi için kullanmayı düşünebilirsiniz .

Büyük olasılıkla işleri kök olarak çalıştırmamanız gerektiği ve sistemi yoldan daha uzağa değiştirmenin gerektiği ve böylece kök izinlerine gerek duymamanız gerektiği fikrini göz önünde bulundurmanız gerekir.

Bu benim için sorunu çözdü (yardımcı olabilecek diğer cevapların bazılarını da denedi):

Aradığım komut dosyası /usr/bin, yazma iznimin olmadığı bir dizindeydi (genellikle orada herhangi bir dosyayı okuyabilirim). Komut dosyası chmodded + x (çalıştırılabilir izinler) idi, ancak yine de işe yaramadı. Bu dosyayı kendi ev dizinimdeki bir yola taşımak yerine /usr/bin, nihayet bir şifre girmeden sudo ile arayabildim.

Ayrıca şüphe ettiğim bir şey (gelecekteki okuyucular için açıklığa kavuşturmak): Komut dosyanızı sudo olarak çalıştırmanız gerekir. Tip sudozaman çağıran komut. sudoKomut dosyanızın içinde gerçekten kök gerektiren komut için kullanmayın (benim durumumda klavye arka ışığını değiştirme). Belki bu da işe yarıyor, ama gerek yok ve yapmamak daha iyi bir çözüm gibi görünüyor.

Komut dosyanızı çalıştırmak için super komutunu yüklemek, yapılandırmak ve sonra kullanmak başka bir olasılık olabilir.

super /path/to/your/script

Bazı ikili çalıştırmak istiyorsanız yürütülebilir (içine derledik örn ELF olduğu -ki bazı C kaynak kodundan ikili) değil kök olarak bir komut-, sen belki o yapmayı düşünün setuid (ve aslında /bin/login, /usr/bin/sudove /bin/suve supertüm bu tekniği kullanıyor ). Ancak çok dikkatli olun, çok büyük bir güvenlik açığı açabilirsiniz .

Somut olarak, programınız paranoyak olarak kodlanmalıdır (bu nedenle "harekete geçmeden önce tüm argümanları ve çevre koşullarını kontrol edin, potansiyel olarak düşman bir kullanıcı varsayarak), sonra seteuid (2) ve arkadaşları (ayrıca bkz. Setreuid (2) ) dikkatlice kullanabilirsiniz (ayrıca bkz. yetenekler (7) ve kimlik bilgileri (7) ve yürütme (2) ...)

Böyle bir binary kurarken kullanacaksınız chmod u+s( chmod (1) ).

Ama çok dikkatli ol .

Böyle bir şeyi kodlamadan önce setuid hakkında Advanced Linux Programming dahil birçok şeyi okuyun .

Bir komut dosyası veya herhangi dikkat edin shebang -ed şey, setuid olamaz. Ancak (C cinsinden) saran küçük bir setuid-ikili kodunu kodlayabilirsiniz.

İdeal olarak, hangi komutların sudosizin için çalıştırılabileceğini özelleştiriyorsanız, bu değişiklikleri doğrudan dosyayı /etc/sudoers.d/düzenlemek yerine ayrı bir dosyada yapmanız gerekir sudoers. Dosyaları visudodüzenlemek için her zaman kullanmanız gerekir . Sen vermek ASLA NOPASSWDüzerine ALLkomutları.

Örnek: sudo visudo -f /etc/sudoers.d/mynotriskycommand

Satır onaylama izninizi ekleyin: myuser ALL= NOPASSWD: /path/to/your/program

Sonra kaydedin ve çıkın ve visudosözdizimi hatalarınız varsa sizi uyaracaktır.

sudo -lKullanıcıya verilen izinleri görmek için koşabilirsiniz , kullanıcıya özel NOPASSWDkomutlardan herhangi %groupyouarein ALL=(ALL) ALLbiri çıktıda herhangi bir komuttan ÖNCE görünürse , şifreniz istenir.

Kendinizi bu sudoers.d dosyalarının birçoğunu oluştururken bulursanız, belki de görsellerini daha kolay hale getirmek için her bir kullanıcı için adlandırılmış oluşturmak istersiniz. FILE NAMES ve RULES dosyalarının sıralamasının çok önemli olduğunu aklınızda bulundurun, yüklü olan LAST bir önceki girişlerden daha fazla mı yoksa LESS mı olduğunu kazanır.

Dosya adı sıralamasını 00-99 veya aa / bb / cc öneki kullanarak kontrol edebilirsiniz, ancak sayısal öneki olmayan HERHANGİ bir dosyanız varsa, numaralandırılmış dosyaların ardından yükleyeceğini unutmayın. ayarlar. Bunun nedeni, dil ayarlarınıza bağlı olarak, "sözcük sıralama" sırasındaki kabuğun önce sayıları sıralar ve ardından "artan" sıralamaya göre sıralamada büyük ve küçük harfleri araya sokması olabilir.

Çalıştırmayı printf '%s\n' {{0..99},{A-Z},{a-z}} | sortve printf '%s\n' {{0..99},{A-Z},{a-z}} | LANG=C sortgeçerli dilin AaBbCcvb. Yazdırılıp yazdırılmayacağını veya ABCdaha sonra kullanılacak abcen iyi "son" harf önekinin ne olacağını belirlemek için deneyin .

Herhangi bir kullanıcının şifre sormadan programı sudo olarak çalıştırmasına izin vermek için aşağıdaki satırı ekleyebilirsiniz

%sudo ALL=(root) NOPASSWD: /path/to/your/program

içinde /etc/sudoers

Not % sudo yapmak.

Aşağıdaki seçenek, yalnızca seçeneklerin bir bölümünün değişken olduğu belirli bir seçenek kümesi varsa, parola olmadan bir komut çalıştırmak istediğiniz durum içindir . AFAIK, sudoers bildirimlerinde değişkenleri veya değer aralıklarını kullanmak mümkün değildir, yani aşağıdakilere açıkça erişime izin verebilir command option1ancak şunları kullanamazsınız command option2:

user_name ALL=(root) /usr/bin/command option1

yapıdır ama eğer command option1 value1nerede, value1değişebilir, sen her olası değeri için açık Sudoers hatları olması gerekir value1. Shell betiği etrafına bir yol sağlar.

Bu cevap, M. Ahmad Zafar'ın cevabından ilham aldı ve buradaki güvenlik sorununu düzeltti.

1. Komutu çağırmadan bir kabuk betiği oluşturun sudo.
2. Komut dosyasını kök ayrıcalıklı bir klasöre (örn. /usr/local/bin/) Kaydedin, dosyayı chown root:wheel /usr/local/bin/script_namebaşkalarına (örneğin chmod 755 /usr/local/bin/script_name) yazma erişimi olmayan bir kök (sahip ) yapın.

3. Visudo kullanarak sudo'lara istisna ekleyin:

   user_name ALL=(root) NOPASSWD: /usr/local/bin/script_name.

4. Senaryonuzu çalıştırın sudo script_name.

Örneğin, macOS'ta ekran uyku zaman aşımını değiştirmek istiyorum. Bu kullanılarak yapılır:

sudo pmset displaysleep time_in_minutes

Uyku zaman aşımını değiştirmeyi, parola yazmanın zorluğunu haklı çıkarmayan masum bir eylem olarak değiştirmeyi düşünüyorum, ancak pmsetbirçok şey yapabilir ve bu diğer şeyleri sudo parolanın arkasında tutmak isterim.

Bu yüzden aşağıdaki komut dosyası var /usr/local/bin/ds:

#!/bin/bash
if [ $# -eq 0 ]; then
        echo 'To set displaysleep time, run "sudo ds [sleep_time_in_minutes]"'
else
        if [[ $1 =~ ^([0-9]|[1-9][0-9]|1[0-7][0-9]|180)$ ]]; then
                pmset displaysleep $1 
        else
                echo 'Time must be 0..180, where 0 = never, 1..180 = number of minutes'
        fi
fi

sudoersDosyanın sonunda şu satır var:

user_name ALL=(root) NOPASSWD: /usr/local/bin/ds

Zaman aşımını 3 dakika olarak ayarlamak için komut dosyasını normal kullanıcı hesabından çalıştırıyorum user_name:

sudo ds 3

Not: Komut dosyamın çoğu, zorunlu olmayan giriş doğrulamadır, bu nedenle aşağıdakiler de işe yarar:

#!/bin/bash
pmset displaysleep $1