如何在不重启的情况下重新加载 sudo 用户（无法重新启动 sudo.service）

为什么需要重新登录

您/etc/sudoers最有可能包含这样的一行：

%sudo   ALL=(ALL:ALL) ALL

正是这一行允许sudo组中的用户使用 运行命令sudo。当您运行sudo并检查您是否在该sudo组中时，它不会查阅用户/组数据库，而是检查其自己的进程是否带有此信息。一旦您进入组中的 shell（或其他）sudo，其所有子进程（包括sudo您运行的）都将在该组中。有多种方法可以使用更改或更新的组信息启动新进程，但这必须是经过深思熟虑的操作（例如注销并再次登录，或重新启动）。

这是设计使然。通过更改用户/组数据库，您无法让已在运行的进程立即更改其对组的分配（从而失去或获得sudo访问权限）。

下面尝试解决您的根本问题。

另一种方法

这是尝试构建一种机制，允许选定的用户暂时失去其不受限制的 sudo 访问权限。实验性的，几乎没有测试过。使用风险自负。

1. abdicate-until使用以下内容创建：

   #!/bin/sh
   
   dir='/etc/abdicate/sudoers.d'
   
   die () { >&2 printf '%s: %s Aborting.\n' "$0" "$1"; exit "$2"; }
   
   if [ -z "$SUDO_USER" ] || [ "$SUDO_UID" -eq 0 ] || [ "$(id -u)" -ne 0 ]; then
      die 'Please run this script as root by invoking `sudo '"$0' as a regular user." 1
   fi
   
   dte="$(IFS=' '; date -d "$*" +%Y%m%d%H%M%S%z)" || die 'Invalid time specification.' 2
   mkdir -p -- "$dir" || die 'Cannot create `'"$dir." 3
   fil="$dir/$SUDO_USER"
   
   <<EOF cat >"$fil"~ && mv "$fil"~ "$fil" || die 'Unable to update `'"$fil'." 4
   $SUDO_USER ALL=(ALL) /full/path/to/delayed
   $SUDO_USER ALL=(ALL:ALL) NOTBEFORE=$dte ALL
   EOF
   
   printf 'User %s lost sudo access until %s.\n' "$SUDO_USER" "$dte" || true
   

   并使其可执行（chmod +x …）。

   笔记

   • 脚本包含/full/path/to/delayed，请进行相应编辑。
   • 脚本使用date -d，它已通过 GNU 测试date。请确保date您可以sudo理解-d now并运行（运行sudo date -d now并查看是否成功）。

2. 我假设您想要此功能的用户当前在sudo组中，并且可以使用 运行命令sudo。作为用户运行：

   sudo path/to/abdicate-until now
   

   创建相关的目录结构和一个文件，该文件稍后会告诉sudo您想要“退位”直到现在（所以实际上还没有）。

3. 调用并在最后sudo visudo添加此行：

   @includedir /etc/abdicate/sudoers.d
   

   保存更改并退出编辑器。如果visudo提示您有问题，请不要让它实际更改sudoers文件。当提示您查​​看里面的文件时，请不要更改此文件。只有接受更改/etc/abdicate/sudoers.d后才继续下一步。visudo

   旧版本sudo无法识别@includedir，因此请使用#includedir。（我认为，即使旧版本的sudo无法识别NOTBEFORE=，这在我们的机制中也绝对至关重要；如果您的sudo版本太旧，请中止：不要更改sudoers，删除/etc/abdicate/，abdicate-until因为它们不起作用，所以不要继续这个答案。）

4. sudo从组中删除用户。用户可以通过调用以下命令自行执行此操作：

   sudo gpasswd --delete "$USER" sudo
   

   正如您所知，此更改需要重新登录或执行类似操作。在当前 shell 中，您仍然可以使用文件中的sudobecause of 。我建议您不要退出此 shell，以防出现问题并且我们的机制对您不起作用。从此 shell 您将能够。仅在验证机制有效后才退出此 shell。%sudo ALL=(ALL:ALL) ALLsudoersgpasswd --add "$USER" sudo

5. 在单独的 shell 中，您需要以用户身份重新登录。如果此 shell 已经属于正确的用户，但id（未id "$USER"）显示它仍在sudo组中，那么您可以执行以下操作：

   exec su - "$USER"
   

   用新 shell 替换该 shell，此时id应显示它不在sudo组中（验证这一点）。这是您将测试解决方案的地方。

6. 在新的 shell 中运行：

   sudo path/to/abdicate-until +2 minutes
   

   您无需引用+2 minutes。我们的脚本无论如何都会将+2和作为一个参数传递minutes给： 。使用您期望的任何语法（严格来说：中可用；它可能与您的 中的相同或不同）。date -d+2 minutesdate-ddate$PATHsudodate$PATH

   如果命令成功执行，则用户将无法sudo在接下来的两分钟内使用，除非sudo delayed …，或者 中还有其他条目sudoers允许用户使用sudo。记住sudo使用最后一个匹配项。现在你的工作是：

   • 检查您的sudoers并确保没有允许用户执行sudo …他或她在“退位”状态下不能执行的行。sudo -l以用户身份运行可能会有用。
   • /full/path/to/delayed自行创建（或者使用您已有的）。这是一项单独的功能。此答案未实现delayed，它仅设置sudoers以便“退位”用户仍可以使用运行它sudo。

7. 在验证机制对用户有效后，您现在可以关闭旧 shell、注销、重新启动或执行其他操作。

at机制根本不使用。重新访问sudo得益于sudo它自己将日期和时间与 中文件中存储的值进行比较/etc/abdicate/sudoers.d/。用户可以通过调用 来检查该值sudo -l。

该机制支持多用户。其他具有访问权限的用户sudo可以通过运行以下命令开始使用该机制：

sudo path/to/abdicate-until now \
&& sudo gpasswd --delete "$USER" sudo

要恢复（显然不是处于“退位”状态）：

sudo gpasswd --add "$USER" sudo \
&& sudo rm /etc/abdicate/sudoers.d/"$USER"

此后，用户需要重新登录才能真正加入该sudo组。删除文件会立即产生后果。删除文件而不先将sudo用户重新添加到组很可能会锁定用户访问权限；需要 root 的密码（如果有）、另一个 sudoer、以单用户模式启动、启动另一个操作系统（例如从 USB 启动实时 Linux）或使用另一台计算机并在那里安装磁盘才能解决此问题。sudopkexec

工作原理

假设用户运行以下程序sudo：

sudo something …

如上所述，在查询时sudoers，sudo使用最后一个匹配项。在文件@includedir /etc/abdicate/sudoers.d的最后面sudoers，对于最后一行有机会匹配的文件的用户，/etc/abdicate/sudoers.d将是该文件的最后一行（目录中其他文件中的行无论如何都不会与用户名匹配）。该行将如下所示：

<username> ALL=(ALL:ALL) NOTBEFORE=<timestamp> ALL

如果时间不早于 ，<timestamp>则该行将匹配，并且它将像%sudo ALL=(ALL:ALL) ALL对组中的用户那样执行操作sudo。对于所考虑的用户， 的权力ALL=(ALL:ALL) ALL现在归因于这最后一行，而不是归因于该%sudo …行。

但是如果时间在 之前<timestamp>，那么最后的匹配将在其他行中，或者根本没有匹配。我们已将用户从sudo组中移除，以使%sudo …此情况下的行不匹配。用户将不会获得 的权力ALL=(ALL:ALL) ALL（除非与此答案无关的行匹配并赋予权力；这就是您应该检查的 sudoers原因）。