Início / ubuntu / Perguntas / 1064138
Accepted
vidarlo
Asked: 2018-08-11 03:56:26 +0800 CST

Faça o sudo não pedir senha por n minutos após o login

  • 772

Eu regularmente faço login no boxen via SSH e executo a atualização e assim por diante como root, usando sudo.

Agradeço que sudopeça senha após certo tempo, caso me afaste de terminais ou afins. Mas como já inseri a senha de login ou a frase-chave SSH, prefiro sudo não solicitar uma senha nos primeiros n minutos após o login, mas me comporto como se o sudo tivesse sido executado com sucesso imediatamente após o login.

É possível configurar para que nenhuma senha seja necessária para a primeira chamada após o login?

Para fazer um exemplo do comportamento desejado

ssh [email protected]
[~]$ sudo somecommand
[~]$ #no password asked.
[~]$ sudo somecommand #n minutes later
[sudo] password for foo:
ssh password sudo

1 respostas

  1. Best Answer

    Aqui está uma ideia de como isso poderia ser feito. NOTA: este é um hack; use apenas se as palavras sudo sem senha fizerem suas sobrancelhas quererem rastejar até o crânio.

    A premissa é: não podemos passar credenciais de login para sudo. Portanto, a questão é como ter um NOPASSWDsudo apenas nos primeiros minutos de um login. Podemos fazer isso iniciando o shell de login no NOPASSWDmodo e gerando um processo em segundo plano no .bashrcqual, após alguns minutos, desfaz o arquivo NOPASSWD.

    # somewhere near the bottom of ~/.bashrc
sudo -n /bin/bash -c "$HOME/nopasswd-sudo 60s 12h <&- >&- &"

    É claro que o próprio script deve ser iniciado com NOPASSWD sudo, ou ainda seríamos solicitados a fornecer uma senha. E o script deve restabelecer a NOPASSWDregra quando a sessão bash terminar, para que NOPASSWDseja definida para o próximo login.

    Aqui está o script $HOME/nopasswd-sudoque fará isso:

    #!/bin/bash

SUDO_FILE="/etc/sudoers.d/$(basename "$0")-${SUDO_USER}"
SUDO_RULE="${SUDO_USER} ALL=(ALL:ALL) NOPASSWD: ALL"

[ -z "$SUDO_USER" ] &&
     echo "$(basename "$0"): must be invoked with sudo" >&2 &&
     exit 1

# Trap exit to recreate SUDO_FILE for next login
trap "echo '$SUDO_RULE' > '$SUDO_FILE'; exit 0" EXIT

# First time around just exit, creating the SUDO_FILE
[ -f "$SUDO_FILE" ] || exit 0

# After $1 (default 5m) remove SUDO_FILE to end NOPASSWD sudo
sleep ${1:-5m} && rm -f "$SUDO_FILE"

# Wait until our parent exits, and we will exit via the trap
# If after $2 (default 12h) still alive, we assume we missed the HUP
sleep ${2:-12h}

    Em sua primeira execução (que deve ser feita a partir da linha de comando, não de .bashrc), o script cria o arquivo /etc/sudoers.d/nopasswd-sudo-$USERcontendo um NOPASSWDcuringa para o logado $USER:

    {username} ALL=(ALL:ALL) NOPASSWD: ALL

    Em seguida, a cada login, ele inicia e aguarda em segundo plano até que o tempo sem senha acabe, após o qual remove o arquivo e o próximo sudoexigirá uma senha.

    Depois disso, ele espera indefinidamente (na verdade, até 12h, para evitar órfãos que perderam o sinal HUP de seus pais) ou até que seu pai, o shell de login, termine. Pouco antes de sair, sua interceptação EXIT recria o NOPASSWDarquivo.

    Dica para os aventureiros: lembre-se de sempre manter um shell root separado aberto enquanto você mexer com scripts ou sudoregras de login. Você não seria o primeiro a se trancar.

    • 5

relate perguntas