让 sudo 在登录后 n 分钟内不询问密码

这是如何完成的一个想法。 注意：这是一个 hack；仅当无密码 sudo使您的眉毛想要爬到头骨上时才使用。

前提是：我们不能将登录凭据传递给sudo. 所以问题是如何在NOPASSWD登录的前几分钟使用 sudo。我们可以通过在NOPASSWD模式下启动登录 shell 并产生一个后台进程来做到这一点，在.bashrc该进程中，几分钟后撤消NOPASSWD.

# somewhere near the bottom of ~/.bashrc
sudo -n /bin/bash -c "$HOME/nopasswd-sudo 60s 12h <&- >&- &"

当然，脚本本身必须以 NOPASSWDsudo 启动，否则仍会提示我们输入密码。 并且脚本必须在 bash 会话结束时恢复NOPASSWD规则，以便NOPASSWD为下次登录设置。

这是执行此操作的脚本$HOME/nopasswd-sudo：

#!/bin/bash

SUDO_FILE="/etc/sudoers.d/$(basename "$0")-${SUDO_USER}"
SUDO_RULE="${SUDO_USER} ALL=(ALL:ALL) NOPASSWD: ALL"

[ -z "$SUDO_USER" ] &&
     echo "$(basename "$0"): must be invoked with sudo" >&2 &&
     exit 1

# Trap exit to recreate SUDO_FILE for next login
trap "echo '$SUDO_RULE' > '$SUDO_FILE'; exit 0" EXIT

# First time around just exit, creating the SUDO_FILE
[ -f "$SUDO_FILE" ] || exit 0

# After $1 (default 5m) remove SUDO_FILE to end NOPASSWD sudo
sleep ${1:-5m} && rm -f "$SUDO_FILE"

# Wait until our parent exits, and we will exit via the trap
# If after $2 (default 12h) still alive, we assume we missed the HUP
sleep ${2:-12h}

在第一次运行时（必须从命令行执行，而不是从 执行.bashrc），脚本会创建/etc/sudoers.d/nopasswd-sudo-$USER包含NOPASSWD已登录通配符的文件$USER：

{username} ALL=(ALL:ALL) NOPASSWD: ALL

然后在每次登录时，它都会启动并在后台等待，直到无密码时间结束，之后它会删除文件，下一次sudo将需要密码。

之后，它会无限期地等待（实际上最多等待 12 小时，以防止遗漏其父级 HUP 信号的孤儿），或者直到其父级登录 shell 结束。就在它退出之前，它的 EXIT 陷阱会重新创建NOPASSWD文件。

sudo给喜欢冒险的人的提示：当你弄乱登录脚本或规则时，请记住始终打开一个单独的 root shell 。你不会是第一个把自己锁在外面的人。