我在 Alpine Linux 服务器上安装了 nss-pam-ldapd，编辑了 nslcd.conf 以使用我在其他地方运行的 ldap 服务器，并在 /etc/ssh/sshd_config 中添加了“UsePAM yes”。我有两个本地帐户，root 和 admin，以及一个 ldap 帐户，ldapuser

• 我可以以 admin 或 ldapuser 身份通过 ssh 进入服务器
• 作为管理员，我可以运行 sudo -u ldapuser echo hello
• 作为管理员，我无法运行 su ldapuser
• 作为 root，我可以 su 进入 admin 和 ldapuser
• 作为 ldapuser，我可以 su 进入 root 和 admin

一般情况下，如果所涉及的唯一帐户在 /etc/shadow 中有条目，一切似乎都运行正常。互联网上的研究似乎表明我可以使用 /etc/pam.d 配置文件修复任何登录问题，但它们似乎对 su 没有任何作用。作为一个实验，我从 /etc/pam.d/su 中注释掉了“auth adequate pam_rootok.so”，root 仍然可以以任何用户身份进行 su，而无需密码。

我有一个帐户需要无缝伪装成其他帐户，如下所示：

manager$ sudo -u worker_A echo hello from worker A
hello from worker A
manager$ sudo -u worker_B echo hello from worker B
hello from worker B

所以我把这样的东西放在一个文件中/etc/sudoers.d：

manager ALL=worker_A,worker_B,worker_C NOPASSWD: ALL

这似乎适用于上述命令。但是，在某些情况下，我需要作为worker_*帐户做的事情需要整个登录环境，即我需要将-i/--login标志传递给 sudo。然而，当我尝试这个时，我得到了一个完全出乎意料的结果：

manager$ sudo -u worker_A echo hello from worker A
hello from worker A
manager$ sudo -u worker_A -i echo hello from worker A
[sudo] password for manager:

问题：

• 这里发生了什么？
• 我该如何解决？

（注意：我已经更改了帐户名称并简化了 sudoers 文件的内容，以创建一个最小的示例并保护隐私。希望我没有在此过程中无意中输入任何拼写错误或更改任何内容。）

我有一个非常简单的任务：更改位于特定文件夹中的所有文件的权限：

find in_this_directory -type f -exec sudo chmod 0664 {} \;

虽然这有效，但它会调用sudo每一个镜头，这会对我的系统产生巨大影响，因为journalctl 会记录所有 sudo 访问：

mycomp sudo[20047]: pam_unix(sudo:session): session closed for user root

如果有一百万个文件，上面的这条线会出现一百万次in_this_directory。

我可以

sudo find in_this_directory -type f -exec chmod 0664 {} \;

但是这个会做其他事情，并且在要更改的文件没有0777并且不属于当前用户的第一次拍摄时会失败。

有没有比等待这些sudo操作结束更好的解决方案？

所以我输入

sudo chmod 777 -R /usr/bin

现在当我尝试使用 sudo 时，它会说，

sudo: /usr/bin/sudo must be owned by uid 0 and have the setuid bit set

我尝试使用 chmod 更改 /usr/bin/sudo 的权限，但它说

chmod: changing permissions of '/usr/bin/sudo': Operation not permitted

我该怎么办？我不能使用 sudo 并且我没有足够的权限来更改 sudo 的权限而不使用 sudo。

编辑：为什么投反对票？

当我将多个命令粘贴到 putty 窗口时，
命令在 first 之后停止执行sudo。

为什么？

我的剪贴板（我小心地在第二个命令之后复制换行符）

sudo -u smith echo aaaaaaaa ;

echo bbbbbbbb ;

结果：

$ sudo -u smith echo aaaaaaaa ;

echo bbbbbbbb ;

aaaaaaaa
$

它echo aaaaaaaa按预期执行，但未执行第二个命令。

设置：我通过腻子从 Windows 10 连接到红帽服务器，shell 是 bash。

调试尝试

似乎sudo以某种方式劫持了粘贴输入。（-n选项没有帮助）

# Given clipboard:
sleep 5s
echo bbbbbb

# Result is:
$ sleep 5s
$ echo bbbbbb # <-- this line gets onto screen AFTER sleep has finished
bbbbbb

但是如果睡觉已经完成了sudo

Given clipboard:
sudo -u smith sleep 5s
echo bbbbbb

# Result is:
$ sudo -u smith sleep 5s
echo bbbbbb # <-- this line gets onto screen BEFORE sleep has finished

我经常使用此命令在我的开发 VM 中的用户之间切换：

✸ sudo su - otheruser

但是，如果我尝试访问/dev/stderr或类似内容，我会遇到麻烦：

otheruser$ echo hi > /dev/stderr
-bash: /dev/stderr: Permission denied

我知道我可以>&2在这个特定的实例中使用，但在某些情况下（例如tee /dev/stderr）你需要一个可打开的文件，而不仅仅是一个文件描述符。

我发现我可以在 sudo 之前打开 tty 的写权限来解决这个问题：

✸ ls -ld /dev/stderr
lrwxrwxrwx 1 root root 15 Jan 13 08:06 /dev/stderr -> /proc/self/fd/2
✸ ls -ld /proc/self/fd/2
lrwx------ 1 aron aron 64 Jan 14 15:08 /proc/self/fd/2 -> /dev/pts/13
✸ ls -ld /dev/pts/13
crw--w---- 1 aron tty 136, 13 Jan 14 15:08 /dev/pts/13
✸ chmod a+w /dev/pts/13

或更简单地说：

✸ chmod a+w /dev/stderr

但我想知道我是否应该使用不同的调用，可以正确分配和/或授予权限。建议？

我试图理解为什么 sudo 在这里没有权限

touch fred.txt
/tmp$ ls -la fred.txt
-rw-rw-r-- 1 me me 0 Dec 12 15:40 fred.txt
/tmp$ sudo -i
~# cd /tmp
/tmp# echo hi >> fred.txt
-bash: fred.txt: Permission denied
/tmp# chmod 666 fred.txt
/tmp# ls -la fred.txt
-rw-rw-rw- 1 me me 0 Dec 12 15:40 fred.txt
/tmp# echo hi >> fred.txt
-bash: fred.txt: Permission denied
id
uid=0(root) gid=0(root) groups=0(root)

据我了解，权限 666 应授予所有者、组和其他对文件进行 r/w 的权限。如 id 命令所证明的，作为 root 的 Surly sudo 可以在“其他”权限下访问该文件。

我在这里有什么误解？

我试图让特定用户能够使用 sudo 运行两个命令，而无需提示输入密码。这就是我所做的：

# temporarily grant privs to nitsadmin
Cmnd_Alias REBOOT = /usr/sbin/reboot
Cmnd_Alias STOP_START_CRUSHFTP = /var/opt/Crushftp/crushftp_init.sh

nitsadmin ALL=(ALL) NOPASSWD: STOP_START_CRUSHFTP, REBOOT

reboot 命令完全按预期工作，但 crushftp_init.sh 命令坚持提示输入密码。

帮助？

在回复第一条评论时，这就是我所看到的：

nitsadmin@dropbox:~$ sudo /var/opt/CrushFTP10/crushftp_init.sh stop
[sudo] password for nitsadmin: 

所以我很确定这sudo是在提示输入密码。

抱歉，如果这已经被问过了，但我找不到答案

今天我不小心删除了很多与工作相关的敏感数据，因为我心不在焉……我没有输入“rclone ls s3-W54689000078:all_data”，而是输入了“rclone delete s3-W54689000078:all_data”，这是我没有丢失的奇迹任何重要的事情，主要是因为我看到了我立即输入的内容，但我想为“rclone delete”命令添加额外的安全层。有什么方法可以让它成为 sudo 命令，或者在我输入 rclone delete 时让终端提示我？

干杯

我安装 sudo 是为了不必一直使用 root 但在设置之后。

 Error relocating libsudo_util.so.0: reallocarray: symbol not found

我检查了 /usr/lib/sudo 但所有文件和符号链接似乎都在他们的位置。

我遵循了这两个 教程，但显然这只是文件的错误。发行版提供的软件包不起作用是非常不寻常的。