问题[sudo](unix)

在 Linux Ubuntu 上，当我在终端运行sudo su或sudo su -系统创建一个具有新控制的新会话时pts，即

ubuntu@ubuntu:~$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 22.04.5 LTS
Release:        22.04
Codename:       jammy
ubuntu@ubuntu:~$ 
ubuntu@ubuntu:~$ uname -a
Linux ubuntu 5.15.0-124-generic #134-Ubuntu SMP Fri Sep 27 20:20:17 UTC 2024 x86_64 x86_64 x86_64 GNU/Linux
ubuntu@ubuntu:~$ 
ubuntu@ubuntu:~$ ps
    PID TTY          TIME CMD
 143254 pts/0    00:00:00 bash
 143302 pts/0    00:00:00 ps
ubuntu@ubuntu:~$ 
ubuntu@ubuntu:~$ sudo su -
root@ubuntu:~# 
root@ubuntu:~# ps
    PID TTY          TIME CMD
 143304 pts/1    00:00:00 sudo
 143305 pts/1    00:00:00 su
 143306 pts/1    00:00:00 bash
 143316 pts/1    00:00:00 ps
root@ubuntu:~#

这是预期的行为吗？

根据评论中的要求：

$ ps     
PID TTY          TIME CMD  
146202 pts/0    00:00:00 bash  
146231 pts/0    00:00:00 ps 

$ sudo -s 
root@ubuntu:/home/ubuntu# ps
PID TTY          TIME CMD  
146233 pts/1    00:00:00 sudo  
146234 pts/1    00:00:00 bash  
146240 pts/1    00:00:00 ps 

我在 Docker 容器中运行 Amazon Linux 2023，我希望能够将一些自定义审计规则加载到内核中，并确保在容器重新启动时保留这些规则。我已将规则添加到该文件中，并可以在尝试使用该文件加载规则/etc/audit/rules.d/audit.rules时看到它们。但是，当我运行此命令时，我得到的输出是cataugenrules --load

/usr/sbin/augenrules: No change
You must be root to run this program.

即使使用 sudo ( ) 运行命令，我也收到相同的响应sudo augenrules --load。我已经以 root 身份登录（whoami返回root）。

我想知道是否可能是因为auditd服务未启动（在这种情况下，的输出augenrules具有误导性），但我无法检查此服务的状态，因为service auditd status（以及任何其他服务命令，如service auditd start）命令给我

Redirecting to /bin/systemctl status auditd.service
System has not been booted with systemd as init system (PID 1). Can't operate.
Failed to connect to bus: Host is down

ps -p1表示 PID 1 是 bash

 PID TTY          TIME CMD
    1 pts/0    00:00:00 bash

我猜这是因为我在容器中运行，但不知道这是否就是为什么augenrules当我是 root 用户时即使使用也拒绝运行的原因sudo。

什么原因导致了这种行为？

将变量添加LD_PRELOAD到末尾/etc/profile：

export LD_PRELOAD=/tmp/libhooks.so

LD_PRELOAD然后我启动一个新的 ssh 会话，其中有一个变量：

[admin@Centos8 ~]$ env | grep LD_PRELOAD
LD_PRELOAD=/tmp/libhooks.so

但是，如果在保存变量时通过 sudo 运行此命令，则由于某种原因LD_PRELOAD它不会被保存：

[admin@Centos8 ~]$ sudo --preserve-env env | grep LD_PRELOAD #doesn't output anything

这并不是一个真正的问题，只是我想了解的一个特点。

如果我得到一个 root shellsudo bash -l然后运行less somefilename我得到的信息更少只显示：

该帐户当前不可用。

（这不会显示为错误，而是显示在 less 内，就好像它是文件的内容一样。）

但是，如果我使用相同的 root shell 并sudo bash -l运行，cat somefilename | less那么我会看到文件的实际内容。

另外，如果我获得一个 root shell 并sudo bash跳过-l然后运行less somefilename它将显示文件的内容。

Root登录被禁用；该/etc/passwd线路root:x:0:0:root:/root:/sbin/nologin根本sudo su -不起作用。

但是，为什么该条目会对在文件上nologin运行产生任何影响呢？为什么它只在直接在文件上运行而不是也应用于在其标准输入上运行时less才会产生影响？less而且，为什么只有bash -lshell 才会出现这种情况？

（这是在 CentOS 7 系统上。）

我得到了这一行sudoers：

Cmnd_Alias NVIDIA = /sbin/sh -c 'echo ON > /proc/acpi/bbswitch; modprobe nvidia; modprobe nvidia_drm modeset=1'

user ALL=(ALL) ALL, NOPASSWD: /sbin/systemctl suspend,NVIDIA

我的sudo -l向我展示：

sudo -l
User user may run the following commands on devbox:
    (ALL) ALL, NOPASSWD: /sbin/systemctl suspend, /sbin/sh -c 'echo ON > /proc/acpi/bbswitch; modprobe nvidia; modprobe nvidia_drm modeset\=1'

尽管如此，如果我尝试运行/sbin/sh -c 'echo ON > /proc/acpi/bbswitch; modprobe nvidia; modprobe nvidia_drm modeset=1'- 仍然提示我输入密码。

我怀疑=我在 nvidia 负载的争论中存在一些关于符号的问题modeset？

在关闭互联网的情况下在终端中运行此命令：

while true;do sudo -n uptime 2>/dev/null;echo "`date`($((i++)))";sleep 0.1;done

现在打开互联网（这里是WIFI）。
现在日志每 5 到 10 秒就会发生一次......

如何让 sudo 忽略网络？

另外，为什么它会有这样的表现？

观测：ubuntu 22.04

PS.：我用来sudo -n uptime警告终端是否具有 sudo 访问权限（我将其全部涂成红色）。所以我在终端中运行的每个命令都会遇到这个问题。

WIFI开启时的延迟日志：

Fri  5 Jan 00:07:41 -03 2024(0)
Fri  5 Jan 00:07:47 -03 2024(1)
Fri  5 Jan 00:07:52 -03 2024(2)
Fri  5 Jan 00:07:57 -03 2024(3)
Fri  5 Jan 00:07:57 -03 2024(4)
Fri  5 Jan 00:08:02 -03 2024(5)
Fri  5 Jan 00:08:02 -03 2024(6)
Fri  5 Jan 00:08:13 -03 2024(7)
Fri  5 Jan 00:08:18 -03 2024(8)
Fri  5 Jan 00:08:18 -03 2024(9)
Fri  5 Jan 00:08:23 -03 2024(10)
Fri  5 Jan 00:08:28 -03 2024(11)
Fri  5 Jan 00:08:28 -03 2024(12)
Fri  5 Jan 00:08:34 -03 2024(13)
Fri  5 Jan 00:08:39 -03 2024(14)
Fri  5 Jan 00:08:44 -03 2024(15)
Fri  5 Jan 00:08:44 -03 2024(16)

当 WIFI 关闭时：

Fri  5 Jan 00:11:45 -03 2024(21)
Fri  5 Jan 00:11:45 -03 2024(22)
Fri  5 Jan 00:11:46 -03 2024(23)
Fri  5 Jan 00:11:46 -03 2024(24)
Fri  5 Jan 00:11:46 -03 2024(25)
Fri  5 Jan 00:11:46 -03 2024(26)
Fri  5 Jan 00:11:46 -03 2024(27)
Fri  5 Jan 00:11:46 -03 2024(28)
Fri  5 Jan 00:11:46 -03 2024(29)
Fri  5 Jan 00:11:46 -03 2024(30)
Fri  5 Jan 00:11:47 -03 2024(31)
Fri  5 Jan 00:11:47 -03 2024(32)
Fri  5 Jan 00:11:47 -03 2024(33)
Fri  5 Jan 00:11:47 -03 2024(34)
Fri  5 Jan 00:11:47 -03 2024(35)
Fri  5 Jan 00:11:47 -03 2024(36)
Fri  5 Jan 00:11:47 -03 2024(37)
Fri  5 Jan 00:11:47 -03 2024(38)
Fri  5 Jan 00:11:47 -03 2024(39)
Fri  5 Jan 00:11:48 -03 2024(40)
Fri  5 Jan 00:11:48 -03 2024(41)
Fri  5 Jan 00:11:48 -03 2024(42)
Fri  5 Jan 00:11:48 -03 2024(43)
Fri  5 Jan 00:11:48 -03 2024(44)
Fri  5 Jan 00:11:48 -03 2024(45)
Fri  5 Jan 00:11:48 -03 2024(46)
Fri  5 Jan 00:11:48 -03 2024(47)
Fri  5 Jan 00:11:49 -03 2024(48)
Fri  5 Jan 00:11:49 -03 2024(49)
Fri  5 Jan 00:11:49 -03 2024(50)
Fri  5 Jan 00:11:49 -03 2024(51)
Fri  5 Jan 00:11:49 -03 2024(52)
Fri  5 Jan 00:11:49 -03 2024(53)
Fri  5 Jan 00:11:49 -03 2024(54)
Fri  5 Jan 00:11:49 -03 2024(55)
Fri  5 Jan 00:11:50 -03 2024(56)
Fri  5 Jan 00:11:50 -03 2024(57)
Fri  5 Jan 00:11:50 -03 2024(58)
Fri  5 Jan 00:11:50 -03 2024(59)
Fri  5 Jan 00:11:50 -03 2024(60)
Fri  5 Jan 00:11:50 -03 2024(61)
Fri  5 Jan 00:11:50 -03 2024(62)
Fri  5 Jan 00:11:50 -03 2024(63)
Fri  5 Jan 00:11:50 -03 2024(64)
Fri  5 Jan 00:11:51 -03 2024(65)
Fri  5 Jan 00:11:51 -03 2024(66)
Fri  5 Jan 00:11:51 -03 2024(67)
Fri  5 Jan 00:11:51 -03 2024(68)
Fri  5 Jan 00:11:51 -03 2024(69)
Fri  5 Jan 00:11:51 -03 2024(70)
Fri  5 Jan 00:11:51 -03 2024(71)
Fri  5 Jan 00:11:51 -03 2024(72)
Fri  5 Jan 00:11:52 -03 2024(73)
Fri  5 Jan 00:11:52 -03 2024(74)
Fri  5 Jan 00:11:52 -03 2024(75)
Fri  5 Jan 00:11:52 -03 2024(76)
Fri  5 Jan 00:11:52 -03 2024(77)
Fri  5 Jan 00:11:52 -03 2024(78)
Fri  5 Jan 00:11:52 -03 2024(79)
Fri  5 Jan 00:11:52 -03 2024(80)
Fri  5 Jan 00:11:52 -03 2024(81)
Fri  5 Jan 00:11:53 -03 2024(82)
Fri  5 Jan 00:11:53 -03 2024(83)
Fri  5 Jan 00:11:53 -03 2024(84)
Fri  5 Jan 00:11:53 -03 2024(85)
Fri  5 Jan 00:11:53 -03 2024(86)
Fri  5 Jan 00:11:53 -03 2024(87)
Fri  5 Jan 00:11:53 -03 2024(88)
Fri  5 Jan 00:11:53 -03 2024(89)
Fri  5 Jan 00:11:54 -03 2024(90)
Fri  5 Jan 00:11:54 -03 2024(91)
Fri  5 Jan 00:11:54 -03 2024(92)
Fri  5 Jan 00:11:54 -03 2024(93)
Fri  5 Jan 00:11:54 -03 2024(94)
Fri  5 Jan 00:11:54 -03 2024(95)
Fri  5 Jan 00:11:54 -03 2024(96)
Fri  5 Jan 00:11:54 -03 2024(97)
Fri  5 Jan 00:11:54 -03 2024(98)
Fri  5 Jan 00:11:55 -03 2024(99)

'!' 的限制 操作员

使用“!”从 ALL 中“减去”命令通常无效 操作员。用户可以通过将所需的命令复制到不同的名称然后执行该命令来轻松规避此问题。例如：

账单 ALL = ALL, !SU, !SHELLS

并不能真正阻止 bill 运行 SU 或 SHELLS 中列出的命令，因为他可以简单地将这些命令复制到不同的名称，或者使用编辑器或其他程序的 shell 转义。因此，此类限制最多应被视为建议性的（并通过政策强化）。

一般来说，如果用户拥有 sudo ALL，则没有什么可以阻止他们创建自己的程序，为他们提供 root shell（或制作自己的 shell 副本），无论任何“！”如何 用户规范中的元素。

什么是

他可以简单地将这些命令复制到不同的名称

意思是？是命令别名还是其他什么？

按照此解决方案，我想授予用户daemon执行/bin/date. 这是我所做的：

1. apache2找到生成时使用的用户：

   # ps | grep httpd
   252 root     /usr/bin/httpd -k start
   260 daemon   /usr/bin/httpd -k start
   262 daemon   /usr/bin/httpd -k start
   264 daemon   /usr/bin/httpd -k start
   467 root     grep httpd
   

2. 找到正确的路径date：

   # which date
   /bin/date
   

3. 使用visudo添加以下行：

   Cmnd_Alias DATE=/bin/date                                               
   daemon ALL=NOPASSWD: DATE
   

4. 重启

5. 测试新权限：

   # sudo -u daemon date -s "2023-09-09 10:16:00"
   date: can't set date: Operation not permitted
   Sat Sep  9 10:16:00 UTC 2023
   

我的语法有什么问题吗？我也尝试过：

ALL ALL=NOPASSWD: DATE

但都是一样的。这是一个 Buildroot 环境。

我不会添加sudoRPi 3 B+ 的 Buildroot 环境，因为我只需要apache2使用date -s TIME.

有没有办法在不安装和配置的情况下授予此权限sudo？

Flatpack 正在安装软件，对吗？

示例：我的发行版（基于 Ubuntu）今天安装了 Brave 和 Chrome 浏览器更新，不需要密码。

sudo进行系统更改不需要 或其他管理员访问权限吗？