ubuntu: Lassen Sie einen Benutzer ein Skript mit Root-Berechtigungen ausführen

Ich habe Ubuntu 8.04 und möchte ein Bash-Skript schreiben, das so ausgeführt wird, wie es rootjeder Benutzer ausführen kann.

Ich selbst kann Sudo machen.

Wie mache ich das?

ERKLÄRUNG : Ich möchte es nicht mit sudo machen, da Benutzer dann ihr Passwort eingeben müssen. Ich möchte nur, dass sie das Skript als root ausführen, vielleicht etwas Setuid, keine Ahnung.

Wenn dies eine normale Binärdatei wäre, könnten Sie setuid durch Ausführen festlegen

# chmod u+s /path/to/binary

Leider können Skripte nicht gesetzt werden. (Nun, Sie können, aber es wird ignoriert). Der Grund dafür ist, dass die erste Zeile des Skripts dem Betriebssystem mitteilt, unter welchem ​​Interpreter das Skript ausgeführt werden soll. Zum Beispiel, wenn Sie ein Skript hatten mit:

#!/bin/bash

Du würdest tatsächlich rennen

/bin/bash /path/to/script

Natürlich müsste der Interpreter setuid sein, was dann bedeuten würde, dass alle Skripte setuid sind. Das wäre schlecht.

Sie können dies mit sudo tun, indem Sie Folgendes in Ihre / etc / sudoers-Datei einfügen, indem Sie visudo ausführen.

ALL ALL=NOPASSWD: /path/to/script

Und jetzt kann jeder Benutzer laufen

$ sudo /path/to/script

Auf diese Weise können sie das Skript ausführen, ohne ihr Kennwort eingeben zu müssen.

Es gibt eine Alternative, für die im Befehl kein sudo erforderlich ist. Dazu muss eine kleine setuided-Binärdatei erstellt werden, die Ihr Skript ausführt. Jede zusätzliche setuid-Binärdatei fügt jedoch ein weiteres potenzielles Sicherheitsproblem hinzu.

Ich musste diese Zeile am Ende von / etc / sudoers einfügen: ALL ALL = NOPASSWD: <filename> Anscheinend %admin ALL=(ALL) ALLerforderte eine spätere Überschreibung ein Passwort für Administratorbenutzer.

Es gibt kein Sicherheitsproblem, das das Ausführen eines Skripts als Root zulässt, solange das Skript eine genau festgelegte, harmlose und zulässige Aktion ausführt und wenn Werte für Parameter nicht zu einem Fehlverhalten des Skripts führen können.

Aber es gibt eine Gotcha ...

Verwenden Sie immer vollständige Pfade in Befehls- und Dateinamen. Wenn Sie so etwas wie echo Hello world!in schreiben myrootscript, könnte jemand ein schreiben ~/bin/echo scriptund myrootscriptals root ausführen, was auch immer darin enthalten ist.

/bin/echo "Hoping this will keep you safe" :-)

Standardmäßig dürfen Mitglieder der wheelGruppe sudojeden Befehl als root. Dies ist wahrscheinlich, wie Sie sudobisher verwenden.

Um einen anderen Benutzer zuzulassen, müssen Sie eine sudoersRegel erstellen . Zum Beispiel:

mickey.mouse ALL = (root) NOPASSWD: /usr/local/bin/test.sh

Kann der Benutzer mickey.mouseden Befehl auszuführen , /usr/local/bin/test.shwie , rootohne dass eine zusätzliche Passwortabfrage.

Sie sollten dieses Dokument lesen , um weitere Informationen zu erhalten.

Verwenden Sie, chmod +s <filename>um das Suid-Bit zu sehen. Dies bedeutet, dass die Datei bei ihrer Ausführung mit den Berechtigungen des Eigentümers der Datei ausgeführt wird (also an root übergeben, damit sie so ausgeführt wird).

Dies kann jedoch bei so etwas wie Bash-Skripten SEHR gefährlich sein, da ein Benutzer einen Weg findet, dies zu ändern, und leicht eine Root-Shell erhalten kann. Stellen Sie sicher, dass niemand außer root darauf schreiben kann.

Unter Linux können Sie keine Skripte festlegen. Dazu müssen Sie es als Programm kompilieren. Stattdessen können Sie die sudoers-Datei (/ etc / sudoers) verwenden und eine Zeile wie diese hinzufügen.

<username> ALL = NOPASSWD: /path/to/script

Eine andere Alternative: Sie können einen kleinen Setuid-C-Wrapper um dieses Skript erstellen

• prüft auf eventuelle Einschränkungen, die Sie erzwingen möchten (Benutzerliste, Zeit, Systemlast, ...)
• Protokolliert / überwacht die Ausführung, falls gewünscht
• führt das Skript aus

Ein bisschen wie Ihre eigene Teilmenge der vielfältigen Fähigkeiten von sudo.