Como recarregar usuários sudo sem reinicializar (Falha ao reiniciar sudo.service)

Por que você precisa fazer login novamente

Provavelmente /etc/sudoerscontém uma linha como esta:

%sudo   ALL=(ALL:ALL) ALL

É essa linha que permite que usuários do sudogrupo executem comandos comsudo . Quando você executa sudoe ele verifica se você está no sudogrupo, ele não consulta o banco de dados do usuário/grupo, ele verifica se seu próprio processo carrega essa informação . Uma vez que você esteja em um shell (ou qualquer outro) que esteja no sudogrupo, todos os seus filhos (incluindo sudovocê executa) estarão no grupo. Há maneiras de iniciar um novo processo com informações alteradas ou atualizadas sobre grupos, mas isso tem que ser uma ação deliberada (como sair e entrar novamente, ou reinicializar).

Isso é por design. Ao alterar o banco de dados de usuários/grupos, você não pode fazer com que processos já em execução alterem suas atribuições a grupos (e, assim, percam ou ganhem sudoacesso) imediatamente.

Abaixo há uma tentativa de resolver seu problema subjacente.

Outra abordagem

Esta é uma tentativa de construir uma mecânica que permitirá que usuários escolhidos percam temporariamente seu acesso sudo, que de outra forma seria irrestrito. Experimental, mal testado. Use por sua conta e risco.

1. Crie abdicate-untilcom o seguinte conteúdo:

   #!/bin/sh
   
   dir='/etc/abdicate/sudoers.d'
   
   die () { >&2 printf '%s: %s Aborting.\n' "$0" "$1"; exit "$2"; }
   
   if [ -z "$SUDO_USER" ] || [ "$SUDO_UID" -eq 0 ] || [ "$(id -u)" -ne 0 ]; then
      die 'Please run this script as root by invoking `sudo '"$0' as a regular user." 1
   fi
   
   dte="$(IFS=' '; date -d "$*" +%Y%m%d%H%M%S%z)" || die 'Invalid time specification.' 2
   mkdir -p -- "$dir" || die 'Cannot create `'"$dir." 3
   fil="$dir/$SUDO_USER"
   
   <<EOF cat >"$fil"~ && mv "$fil"~ "$fil" || die 'Unable to update `'"$fil'." 4
   $SUDO_USER ALL=(ALL) /full/path/to/delayed
   $SUDO_USER ALL=(ALL:ALL) NOTBEFORE=$dte ALL
   EOF
   
   printf 'User %s lost sudo access until %s.\n' "$SUDO_USER" "$dte" || true
   

   E torná-lo executável ( chmod +x …).

   Notas

   • O script contém /full/path/to/delayed, edite-o adequadamente.
   • O script usa date -d, ele foi testado com GNU date. Certifique-se de que datevocê pode executar com sudounderstands -d nowe tal (execute sudo date -d nowe veja se dá certo).

2. Presumo que o usuário para o qual você quer essa funcionalidade esteja atualmente no sudogrupo e possa executar comandos com sudo. Conforme o usuário executa:

   sudo path/to/abdicate-until now
   

   para criar a estrutura de diretório relevante e um arquivo que mais tarde dirá que sudovocê deseja "abdicar" até agora (então, efetivamente, não de forma alguma, ainda).

3. Invoque sudo visudoe adicione esta linha no final :

   @includedir /etc/abdicate/sudoers.d
   

   Salve as alterações e saia do editor. Se visudoele disser que há um problema, não deixe que ele realmente altere o sudoersarquivo. Quando solicitado a revisar o arquivo dentro de /etc/abdicate/sudoers.d, não altere este arquivo. Prossiga para a próxima etapa somente se visudoaceitar a alteração.

   Versões antigas de sudodo not recognize @includedir, para elas use #includedirem vez disso. (E eu acho que versões ainda mais antigas de sudodo not recognize NOTBEFORE=, que é absolutamente crucial em nossa mecânica; se a sua sudofor tão antiga, aborte: do not change sudoers, remova /etc/abdicate/e abdicate-untilcomo elas não vão funcionar, não prossiga com esta resposta.)

4. Remover o usuário do sudogrupo . O usuário pode fazer isso sozinho invocando:

   sudo gpasswd --delete "$USER" sudo
   

   Como você já sabe, essa mudança requer um novo login ou um ato semelhante. No shell atual, você ainda pode usar sudopor causa %sudo ALL=(ALL:ALL) ALLdo sudoersarquivo. Eu aconselho você a não sair deste shell caso haja algo errado e nossa mecânica não funcione bem para você. A partir deste shell, você poderá gpasswd --add "$USER" sudo. Sair deste shell somente após verificar se a mecânica funciona.

5. Em um shell separado, você precisa fazer login como o usuário novamente. Se esse shell já pertence ao usuário certo, mas id( nãoid "$USER" ) mostra que ele ainda está no sudogrupo, então você pode fazer:

   exec su - "$USER"
   

   para substituir o shell por um novo shell onde iddeve mostrar que ele não está no sudogrupo (verifique isso). É aqui que você testará a solução.

6. No novo shell execute:

   sudo path/to/abdicate-until +2 minutes
   

   Você não precisa citar +2 minutes. Nosso script passará +2and minutesto date -dcomo um argumento de qualquer forma: +2 minutes. Use qualquer sintaxe que você dateespera depois -d(estritamente: datedisponível em $PATHimposto por sudo; pode ou não ser o mesmo dateque em seu$PATH ).

   Se o comando for bem-sucedido, o usuário não poderá usar sudonos próximos dois minutos, exceto sudo delayed …, ou exceto se houver outras entradas em sudoersque permitam que o usuário use sudo. Lembre-se sudode usar a última correspondência . Agora seus trabalhos são:

   • Revise seu sudoerse certifique-se de que não há linhas que permitam que o usuário execute. sudo …Ele não poderá executar quando estiver no estado "abdicado". sudo -lExecutar como o usuário pode ser útil.
   • Crie /full/path/to/delayedvocê mesmo (ou use o que você já tem, talvez). É uma funcionalidade separada. Esta resposta não implementa delayed, ela apenas configura sudoerspara que o usuário "abdicado" ainda possa executá-lo com sudo.

7. Depois de verificar se a mecânica funciona para o usuário, agora você pode fechar o shell antigo, sair, reiniciar ou o que for.

A mecânica não usa atnada. Recuperar o acesso a sudofunciona graças a sudosi mesmo comparando a data e a hora com o valor armazenado no arquivo dentro de /etc/abdicate/sudoers.d/. O usuário pode verificar o valor invocando sudo -l.

A mecânica suporta múltiplos usuários. Outro usuário com sudoacesso pode começar a usar a mecânica executando:

sudo path/to/abdicate-until now \
&& sudo gpasswd --delete "$USER" sudo

Para reverter (obviamente enquanto não estiver no estado de "abdicação"):

sudo gpasswd --add "$USER" sudo \
&& sudo rm /etc/abdicate/sudoers.d/"$USER"

Depois disso, o usuário precisa fazer login novamente para realmente estar no sudogrupo. Remover o arquivo tem consequências imediatas. Remover o arquivo sem adicionar novamente o usuário ao sudogrupo primeiro provavelmente bloqueará o usuário do sudoacesso; a senha do root (se houver), outro sudoer, pkexecinicialização no modo de usuário único, inicialização de outro SO (por exemplo, Linux ao vivo a partir de USB) ou uso de outro computador e montagem do disco lá serão necessários para corrigir isso.

Como funciona

Suponha que um usuário execute algo com sudo:

sudo something …

Conforme declarado, ao consultar sudoers, sudousa a última correspondência . Com @includedir /etc/abdicate/sudoers.dno final do sudoersarquivo, para um usuário que tem um arquivo na /etc/abdicate/sudoers.dúltima linha que tem uma chance de corresponder será a última linha deste arquivo (linhas em outros arquivos no diretório não corresponderão ao nome de usuário de qualquer maneira). A linha será como:

<username> ALL=(ALL:ALL) NOTBEFORE=<timestamp> ALL

Se o tempo não for antes de <timestamp>então a linha corresponderá e agirá como %sudo ALL=(ALL:ALL) ALLatos para um usuário no sudogrupo. Para o usuário considerado, o poder de ALL=(ALL:ALL) ALLagora é devido a esta última linha, não devido à %sudo …linha.

Mas se o tempo for antes de <timestamp>então a última correspondência estará em alguma outra linha ou não haverá correspondência alguma. Removemos o usuário do sudogrupo para fazer com que a %sudo …linha não corresponda neste caso. O usuário não obterá o poder de ALL=(ALL:ALL) ALL(a menos que uma linha não relacionada a esta resposta corresponda e forneça o poder; é por isso que você deve revisar seu sudoers ).