Execute apenas partes de um script como sudo, digitando a senha apenas uma vez

14

Estou escrevendo um script (na verdade uma combinação de scripts e makefile) que instala dependências externas: alguns apt-getcomandos, alguns gitclonando, construindo, instalando, adicionando usuários a grupos, ...

Algumas das operações nesses scripts requerem permissões de superusuário, outras não.

Até agora, eu executei todo o processo de criação com o sudo, mas ele tem algumas desvantagens:

gitrepos clono get rootcomo proprietário, o que significa que não posso modificá-los posteriormente sem sudoouchown
os scripts que adicionam usuários a grupos não sabem qual usuário adicionar desde que whoamiretornaroot

Qual é a melhor maneira de executar como superusuário apenas os comandos que exigem isso? Idealmente, o processo ainda exigiria que eu digite minha sudosenha, mas apenas uma vez no início do processo de instalação. Esquecê-lo-ia no final, mas mantenha-o o tempo todo até lá (pode levar várias horas).

As soluções que encontrei online incluem:

sudo -vno início do script, mas se eu entendi corretamente, isso expira. Meu script pode estar em execução por algumas horas
executando o script com sudo, mas os comandos que não precisam de superusuário sudo -u $(logname) <command>. É isso que faço agora, mas parece que deveria ser o contrário.

Idealmente, eu gostaria que meu script:

solicitar credenciais de superusuário
executar comandos normais como o usuário conectado
execute comandos sudo com as credenciais inseridas na etapa 1
sudo -k fechar a sessão de superusuário

sudo scripts

— Gauthier
fonte

2

Você ainda pode executar tudo como sudo, e seu script pode verificar a SUDO_USERvariável de ambiente. Se presente, ele conterá o nome de usuário do usuário que está chamando o sudo. Então você pode (como root) mostrar $ SUDO_USER: $ SUDO_GID $ your_files. Da mesma forma, você pode verificar essas variáveis para que seus comandos adduser saibam qual usuário adicionar.

— roadmr 13/02/2015

... ou execute tudo como root e use su $SUDO_USER -c commandos comandos para executar como usuário normal.

— Rmano 17/02

7

Como você tem acesso ao sudo, crie um arquivo sudoers para si mesmo e exclua-o quando o script estiver concluído:

# grant this user access to the sudo commands without passwords
# add all required cmds to the CMDS alias
sudo tee /etc/sudoers.d/$USER <<END
$USER $(hostname) = NOPASSWD: /usr/bin/apt-get, /usr/sbin/adduser, /bin/rm, ...
END

# your script goes here
sudo apt-get install ...
git clone ...
sudo adduser group2 $USER
sudo adduser group1 $USER
: ...

# then, remove the sudo access
sudo /bin/rm /etc/sudoers.d/$USER
sudo -k

— Glenn Jackman
fonte

2

Uma maneira, que eu geralmente não recomendaria, é ler a senha você mesmo e usar sudoa -Sopção para passar a senha como e quando necessário:

#! /bin/bash
IFS= read -rsp 'Enter your password: ' password
git clone ...
sudo -S apt-get install foo -y <<<"$password"

De man sudo:

 -S, --stdin
             Write the prompt to the standard error and read the password
             from the standard input instead of using the terminal device.
             The password must be followed by a newline character.

— muru
fonte

1

Isso é seguro? echo "$password"??

— αғsнιη

@KasiyA echo "$password"não seria, mas heredocs e herestrings são um pouco mais seguros. Eles não são visíveis na linha de comando mostrada pelas ferramentas usuais.

— Muni

1

Eu acho que, estritamente falando, echo "$password"o lado esquerdo de um cachimbo está seguro em um script bash. echoé um shell embutido; /bin/echonão funciona quando é chamado simplesmente echo .... Algumas outras conchas têm um echoembutido ( dashpor exemplo), mas as conchas no estilo Bourne não são precisam ter uma. Então, eu acho que echo "$password" |é aceitável no bash, mas pode ser melhor evitado no caso de alguém portar o script para outro shell sem perceber o problema. Eu uso um não-portáteis [[, em vez de [em que o script para evitar o mesmo tipo de problema. @KasiyA

— Eliah Kagan