Início / computer / Perguntas / 1424578
Accepted
Tom Lous
Asked: 2019-04-12 23:13:47 +0800 CST

Execute o comando de sudo su

  • 772

Em uma máquina, eu ( tlous) recebi acesso para abrir um shell como outro usuário ( serviceAccount)

Executing: sudo su - serviceAccounttem o efeito desejado de abrir um shell como este serviceAccountusuário. Até agora tudo bem.

Isso é bom, mas quero executar um comando como esse usuário sem abrir um shell.

Digamos que o comando sejawhoami

Eu tentei:

sudo -u serviceAccount whoami

Desculpe, o usuário tlous não tem permissão para executar '/usr/bin/whoami' como serviceAccount ...

sudo su - serviceAccount -c whoami

Desculpe, o usuário tlous não tem permissão para executar '/bin/su - serviceAccount -c whoami' ...

E outras variações. o que estou perdendo? Isso pode ser feito em um oneliner? A razão é que eu realmente quero executar isso como um comando ssh: ssh -t [email protected] sudo su - serviceAccount -c whoami

bash shell sudo

1 respostas

  1. Best Answer

    Provavelmente, o sudoersarquivo no lado remoto especifica o comando exato que você pode executar e é su - serviceAccount. Uma ou mais opções adicionais (como -c) farão com que o comando não se qualifique. Qualquer solução deve usar o su - serviceAccountcomando exato.

    Existe uma maneira de fazer algo sobre isso, mas não é perfeito. Comece executando isso no servidor:

    echo whoami | sudo su - serviceAccount

    ( sudosem -Susará o terminal para solicitar sua senha (se necessário) apesar do redirecionamento).

    Para tornar a abordagem mais geral, crie um script no servidor:

    #!/bin/sh
printf '%s ' "$@" | sudo su - serviceAccount

    Salve-o como su-sere torne-o executável. Agora você pode testar estes:

    ./su-ser whoami
./su-ser 'whoami; whoami'
./su-ser ls -l
./su-ser 'ls -l'

    Observe que essas aspas não se propagam para o shell gerado por su. Cada vez que printfconstrói um comando a partir de argumentos que o script obtém, isso é passado como uma string e depois analisado pelo shell final, com divisão de palavras, globbing e outros. Isso significa todos esses

    ./su-ser echo 1 2 3
./su-ser echo "1 2             3"
./su-ser "echo 1 2             3"

    vai imprimir 1 2 3. Para passar uma string entre aspas , você precisa colocar aspas, por exemplo:

    ./su-ser 'echo "1 2             3"'

    A próxima etapa é acionar esse script remoto do seu computador local:

    ssh -t [email protected] '"/path/to/su-ser" whoami'

    Você precisa -tcaso sudopeça a senha. Pelo sshcomando no corpo da sua pergunta, posso dizer que você provavelmente entende isso.

    Note também cria uma stringssh de comando . A citação acima funcionaria mesmo se contivesse espaços. Por outro lado, se o caminho estiver sem espaços (e sem caracteres como , ), um totalmente sem aspas também funcionará./path/to/su-ser;*ssh … /path/to/su-ser whoami

    A citação adequada não é uma tarefa trivial neste momento. Vamos analisar o que acontece com o comando.

    1. A princípio, seu shell local analisa a string. Ele usa as aspas mais externas (se houver) para analisá-lo corretamente.
    2. sshobtém seus argumentos como uma matriz. As aspas usadas pelo shell não vão tão longe.
    3. sshdecide quais argumentos devem ser passados ​​para o lado remoto e constrói uma string (de maneira semelhante ao printfnosso script remoto).
    4. Essa string é então analisada pelo shell remoto (aquele gerado sshdno servidor). O shell remoto usa as (agora) maioria das aspas externas (se houver) para analisá-lo corretamente.
    5. su-serobtém seus argumentos como uma matriz. As aspas usadas pelo shell remoto não vão tão longe.
    6. su-serconstrói uma cadeia.
    7. Essa string é então analisada por outro shell (gerado suno servidor). O shell usa as (agora) mais aspas externas (se houver) para analisá-lo corretamente.
    8. O(s) comando(s) que você passou recebem seus argumentos como uma matriz. As aspas usadas pelo último shell não vão tão longe.

    Isso significa que às vezes você precisa de três níveis de cotações para obter o resultado correto. Um comando local descomplicado como

    echo "1 2             3"

    torna-se

    ssh -t [email protected] "'/path/to/su-ser' 'echo \"1 2             3\"'"

    onde as aspas duplas sem escape são removidas pelo shell local, as aspas simples são removidas pelo shell remoto; finalmente, as aspas duplas com escape (que de fato se tornam sem escape assim que o shell local remove as sem escape) informam ao shell gerado por suque a string com vários espaços é um único argumento para echo. Desta forma a saída é

    1 2             3

    Outro problema é que o script remoto passa comandos para stdin do shell final, então você não pode facilmente usar seu stdin para outra finalidade. Por exemplo cat; whoami, (tente) deve imprimir de volta todas as linhas que você digitar (termine com Ctrl+ D), então a saída de whoami. No entanto, se você executar isso no servidor:

    ./su-ser 'cat; whoami'

    catterminará imediatamente. Isso deve funcionar:

    ./su-ser 'cat /dev/tty; whoami'

    (Novamente, use Ctrl+ Dpara encerrar cat). Agora compare o comportamento disso:

    ./su-ser '
whoami
whoami
whoami
'

    para isso:

    ./su-ser '
whoami
cat
whoami
'

    O mesmo fluxo alimenta cate a concha; não é uma coisa boa. Estabelecer canais separados para comandos reais e o stdin real pode não ser fácil porque sudo, por padrão, fecha descritores de arquivo adicionais e define um novo ambiente mínimo. Acho que uma engenhoca usando arquivos temporários/fifos funcionaria, mas isso é tão complicado que nem vou tentar.

    Portanto, o script pode ou não ser suficiente para você; depende dos comandos que você precisa executar. Agora você conhece algumas de suas limitações. Boa sorte.

    • 1

relate perguntas