flybywire Asked: 2009-10-19 00:57:13 +0800 CST2009-10-19 00:57:13 +0800 CST 2009-10-19 00:57:13 +0800 CST ubuntu:让用户以root权限运行脚本 772 我有 ubuntu 8.04,我想编写一个 bash 脚本来运行root,每个用户都可以运行它。 我自己可以做sudo。 我怎么做? 澄清:我不想用 sudo 来做,因为那样用户将不得不输入他们的密码。我只是希望他们以root身份运行脚本,也许是setuid,不知道。 ubuntu 5 个回答 Voted David Pashley 2009-10-19T01:54:57+08:002009-10-19T01:54:57+08:00 如果这是一个普通的二进制文件,你可以通过运行 setuid # chmod u+s /path/to/binary 不幸的是,脚本不能是 setuid。(嗯,你可以,但它被忽略了)。原因是脚本的第一行告诉操作系统在哪个解释器下运行脚本。例如,如果您有一个脚本: #!/bin/bash 你实际上最终会跑步 /bin/bash /path/to/script 显然,您需要将解释器设置为 setuid,这意味着所有脚本都将设置为 setuid。这会很糟糕。 您可以使用 sudo 执行此操作,方法是通过运行 visudo 将以下内容放入您的 /etc/sudoers 文件中。 ALL ALL=NOPASSWD: /path/to/script 现在任何用户都可以运行 $ sudo /path/to/script 这允许他们在不输入密码的情况下运行脚本。 还有一种替代方法不需要命令中的 sudo,它需要创建一个小的 setuid 二进制文件来执行您的脚本,但是每个额外的 setuid 二进制文件都会增加另一个潜在的安全问题。 André 2011-04-20T01:37:06+08:002011-04-20T01:37:06+08:00 我需要在/etc/sudoers 的末尾插入该行:显然ALL ALL = NOPASSWD: <filename> ,稍后的%admin ALL=(ALL) ALL覆盖需要管理员用户的密码。 只要脚本执行确定的、无害的、允许的操作,并且如果任何参数的值都不会导致脚本行为不端,就没有安全问题允许脚本以 root 身份运行。 但是有一个陷阱... 始终在命令和文件名中使用完整路径。如果您编写类似echo Hello world!in 的myrootscript内容,则有人可能会编写 a~/bin/echo script并myrootscript以 root 身份执行其中的任何内容。 /bin/echo "Hoping this will keep you safe":-) Dan Carley 2009-10-19T01:53:33+08:002009-10-19T01:53:33+08:00 默认情况下,该wheel组的成员被允许使用sudo任何命令作为root. 这可能是您sudo迄今为止的使用方式。 要允许其他用户,您需要创建一个sudoers规则。例如: mickey.mouse ALL = (root) NOPASSWD: /usr/local/bin/test.sh 将允许用户在不需要额外的密码提示的情况下mickey.mouse运行命令。/usr/local/bin/test.shroot 您应该阅读本文档以获取更多信息。 Dentrasi 2009-10-19T01:51:28+08:002009-10-19T01:51:28+08:00 用于chmod +s <filename>设置 suid 位。这意味着当文件被执行时,它以文件所有者的权限运行(因此将其更改为 root 以使其运行)。 但是,对于 bash 脚本之类的东西,这可能非常危险,因为用户找到了更改它的方法,他们可以轻松获得 root shell。确保它不能被除 root 之外的任何人写入。 Linux不允许您在脚本上设置uid,为此您必须将其编译为程序。相反,您可以使用 sudoers 文件 (/etc/sudoers),并添加这样的一行。 <username> ALL = NOPASSWD: /path/to/script mpez0 2011-04-20T04:07:52+08:002011-04-20T04:07:52+08:00 另一种选择:您可以围绕该脚本执行一个小的 setuid C 包装器 检查您可能想要强制执行的任何限制(用户列表、时间、系统负载......) 如果需要,记录/审计执行 执行脚本 有点像您自己的sudo.
如果这是一个普通的二进制文件,你可以通过运行 setuid
不幸的是,脚本不能是 setuid。(嗯,你可以,但它被忽略了)。原因是脚本的第一行告诉操作系统在哪个解释器下运行脚本。例如,如果您有一个脚本:
你实际上最终会跑步
显然,您需要将解释器设置为 setuid,这意味着所有脚本都将设置为 setuid。这会很糟糕。
您可以使用 sudo 执行此操作,方法是通过运行 visudo 将以下内容放入您的 /etc/sudoers 文件中。
现在任何用户都可以运行
这允许他们在不输入密码的情况下运行脚本。
还有一种替代方法不需要命令中的 sudo,它需要创建一个小的 setuid 二进制文件来执行您的脚本,但是每个额外的 setuid 二进制文件都会增加另一个潜在的安全问题。
我需要在/etc/sudoers 的末尾插入该行:显然
ALL ALL = NOPASSWD: <filename>,稍后的%admin ALL=(ALL) ALL覆盖需要管理员用户的密码。只要脚本执行确定的、无害的、允许的操作,并且如果任何参数的值都不会导致脚本行为不端,就没有安全问题允许脚本以 root 身份运行。
但是有一个陷阱...
始终在命令和文件名中使用完整路径。如果您编写类似
echo Hello world!in 的myrootscript内容,则有人可能会编写 a~/bin/echo script并myrootscript以 root 身份执行其中的任何内容。/bin/echo "Hoping this will keep you safe":-)默认情况下,该
wheel组的成员被允许使用sudo任何命令作为root. 这可能是您sudo迄今为止的使用方式。要允许其他用户,您需要创建一个
sudoers规则。例如:将允许用户在不需要额外的密码提示的情况下
mickey.mouse运行命令。/usr/local/bin/test.shroot您应该阅读本文档以获取更多信息。
用于chmod +s <filename>设置 suid 位。这意味着当文件被执行时,它以文件所有者的权限运行(因此将其更改为 root 以使其运行)。但是,对于 bash 脚本之类的东西,这可能非常危险,因为用户找到了更改它的方法,他们可以轻松获得 root shell。确保它不能被除 root 之外的任何人写入。Linux不允许您在脚本上设置uid,为此您必须将其编译为程序。相反,您可以使用 sudoers 文件 (/etc/sudoers),并添加这样的一行。
<username> ALL = NOPASSWD: /path/to/script另一种选择:您可以围绕该脚本执行一个小的 setuid C 包装器
有点像您自己的
sudo.