8

我经常发现自己需要编写脚本,这些脚本必须以普通用户的身份执行某些部分,而以超级用户的身份执行其他部分。我知道关于 SO 的一个类似问题,答案是两次运行相同的脚本并将其作为 sudo 执行,但这对我来说还不够。有时我需要在 sudo 操作后恢复为普通用户。

我在 Ruby 中编写了以下内容来执行此操作

#!/usr/bin/ruby
require 'rubygems'
require 'highline/import'
require 'pty'
require 'expect'

def sudorun(command, password)
  `sudo -k`
  PTY.spawn("sleep 1; sudo -u root #{command} 2>&1") { | stdin, stdout, pid |
  begin
    stdin.expect(/password/) {
    stdout.write("#{password}\n")
    puts stdin.read.lstrip
                              }
  rescue Errno::EIO
  end
 }
end

不幸的是,如果用户输入错误的密码,使用该代码脚本会崩溃。理想情况下,它应该让用户 3 次尝试正确获取 sudo 密码。我该如何解决?

我在 Linux Ubuntu BTW 上运行它。

4

4 回答 4

8

在我看来,运行一个在内部使用 sudo 执行操作的脚本是错误的。更好的方法是让用户使用 sudo 运行整个脚本,并让脚本派生出特权较低的孩子来做一些事情:

# Drops privileges to that of the specified user
def drop_priv user
  Process.initgroups(user.username, user.gid)
  Process::Sys.setegid(user.gid)
  Process::Sys.setgid(user.gid)
  Process::Sys.setuid(user.uid)
end

# Execute the provided block in a child process as the specified user
# The parent blocks until the child finishes.
def do_as_user user
  unless pid = fork
    drop_priv(user)
    yield if block_given?
    exit! 0 # prevent remainder of script from running in the child process
  end
  puts "Child running as PID #{pid} with reduced privs"
  Process.wait(pid)
end

at_exit { puts 'Script finished.' }

User = Struct.new(:username, :uid, :gid)
user = User.new('nobody', 65534, 65534)

do_as_user(user) do
  sleep 1 # do something more useful here
  exit! 2 # optionally provide an exit code
end

puts "Child exited with status #{$?.exitstatus}"
puts 'Running stuff as root'
sleep 1

do_as_user(user) do
  puts 'Doing stuff as a user'
  sleep 1
end

此示例脚本有两个辅助方法。#drop_priv 接受一个定义了用户名、uid 和 gid 的对象,并适当地减少执行进程的权限。#do_as_user 方法在屈服于提供的块之前在子进程中调用 #drop_priv。注意#exit 的使用!防止孩子在块之外运行脚本的任何部分,同时避免 at_exit 钩子。

经常被忽视的安全问题需要考虑:

  • 打开文件描述符的继承
  • 环境变量过滤
  • 在 chroot 中运行孩子?

根据脚本正在执行的操作,可能需要解决其中的任何问题。#drop_priv 是处理所有这些问题的理想场所。

于 2012-10-02T18:04:16.523 回答
5

如果可能的话,您可以将要以 root 身份执行的内容移动到单独的文件中,并使用该system()函数将其作为 sudo 运行,包括 sudo 提示符等:

system("sudo ruby stufftorunasroot.rb")

system()功能是阻塞的,因此您的程序流程不需要更改。

于 2012-09-28T08:15:39.003 回答
3

我不知道这是否是您想要或需要的,但您是否尝试过sudo -A(搜索SUDO_ASKPASS可能具有/usr/lib/openssh/gnome-ssh-askpass或类似值的 Web 或手册页)?当我需要在 GUI 环境中向用户呈现图形密码对话框时,我会使用它。

抱歉,如果这是错误的答案,也许您真的想留在控制台上。

于 2012-09-30T07:36:42.383 回答
1 
#!/usr/bin/ruby
# ... blabla, other code
# part which requires sudo:
system "sudo -p 'sudo password: ' #{command}"
# other stuff
# sudo again
system "sudo -p 'sudo password: ' #{command}"
# usually sudo 'remembers' that you just authenticated yourself successfuly and doesn't ask for the PW again...
# some more code...
于 2012-09-28T13:43:41.690 回答