我经常发现自己需要编写一些脚本,这些脚本必须以普通用户身份执行某些部分,而以超级用户身份执行其他部分。我知道在SO上有一个类似的问题,答案是两次运行相同的脚本并以sudo的身份执行,但这对我来说还不够。有时,在执行sudo操作后,我需要恢复为普通用户身份。
我已经在Ruby中编写了以下代码来做到这一点
#!/usr/bin/ruby
require 'rubygems'
require 'highline/import'
require 'pty'
require 'expect'
def sudorun(command, password)
`sudo -k`
PTY.spawn("sleep 1; sudo -u root #{command} 2>&1") { | stdin, stdout, pid |
begin
stdin.expect(/password/) {
stdout.write("#{password}\n")
puts stdin.read.lstrip
}
rescue Errno::EIO
end
}
end
不幸的是,如果用户输入了错误的密码,则使用该代码会使脚本崩溃。理想情况下,它应该使用户3尝试正确获取sudo密码。我该如何解决?
我在Linux Ubuntu BTW上运行它。
我认为,运行在内部使用sudo进行填充的脚本是错误的。更好的方法是让用户使用sudo运行整个脚本,并让脚本分叉较弱特权的子级来执行操作:
# Drops privileges to that of the specified user
def drop_priv user
Process.initgroups(user.username, user.gid)
Process::Sys.setegid(user.gid)
Process::Sys.setgid(user.gid)
Process::Sys.setuid(user.uid)
end
# Execute the provided block in a child process as the specified user
# The parent blocks until the child finishes.
def do_as_user user
unless pid = fork
drop_priv(user)
yield if block_given?
exit! 0 # prevent remainder of script from running in the child process
end
puts "Child running as PID #{pid} with reduced privs"
Process.wait(pid)
end
at_exit { puts 'Script finished.' }
User = Struct.new(:username, :uid, :gid)
user = User.new('nobody', 65534, 65534)
do_as_user(user) do
sleep 1 # do something more useful here
exit! 2 # optionally provide an exit code
end
puts "Child exited with status #{$?.exitstatus}"
puts 'Running stuff as root'
sleep 1
do_as_user(user) do
puts 'Doing stuff as a user'
sleep 1
end
此示例脚本具有两个帮助程序方法。#drop_priv接受一个定义了用户名,uid和gid的对象,并 适当
减少执行进程的权限。#do_as_user方法在屈服提供的块之前,在子进程中调用#drop_priv。注意使用#exit!以防止子代在块外运行脚本的任何部分,同时避免使用at_exit挂钩。
通常会忽略以下安全问题:
根据脚本的功能,可能需要解决所有这些问题。#drop_priv是处理所有这些问题的理想场所。
问题内容: 我需要使用Java以root和sudo用户身份执行给定命令。但是,我不确定我可以用来传递密码的方法。有什么方法可以将密码传递给终端? 问题答案: 您可以将sodu全部放在一起,并创建一个shell脚本suid root,然后运行它。 每当调用该脚本时,它将以root身份运行。
问题内容: 我定义了一个不时切换我的代理设置的功能,问题是我希望它在没有人工干预的情况下循环运行。但是,当我在sudo中执行程序时,它会在第一次顺利运行时被调用,第二次它会要求我提供我的sudo密码。这是一些代码: 我可以使用线程,但是可以肯定有一种方法不会引起问题。我该如何对sudo密码进行硬编码,使其在功能开始时运行? 问题答案: 在这里,您可以执行命令sudo,而不会出现交互式提示,要求您输
问题内容: 我正在编写一个简单的shell脚本,该脚本会更改网络硬件的mac地址。其中一行是: 我的问题是sudo脚本提示输入密码。有什么办法可以在不提示用户输入密码的情况下执行此操作? 问题答案: 最肯定的是,如果您不介意为该特定用户“免费使用”该特定命令: 基本上在这里看到我的其他答案:[Shell脚本-随着时间的流逝丢失了Sudo权限 可能最简单的方法是 另外,您可以在同一终端(tty /
问题内容: 我遇到一种情况(在硒测试期间),在这种情况下,用户将收到安全代码。然后,用户必须先输入安全密码,然后才能继续操作。 我不太确定如何获得用户输入的值。我浏览了硒文档,并提出了这个建议。不幸的是,它并不是很有效。 有人可以指出我正确的方向吗? 问题答案: 似乎您必须先接受并关闭提示,然后才能存储和使用该值
问题内容: 我有一种情况(在selenium测试期间),在这种情况下,用户将收到安全代码。然后,用户必须先输入安全代码,然后才能继续操作。 我不太确定如何获得用户输入的值。我浏览了selenium文档,并提出了这个建议。不幸的是,它并不是很有效。 有人可以指出我正确的方向吗? 问题答案: 似乎您必须先接受并关闭提示,然后才能存储和使用该值
问题内容: 我正在编写一个提示输入的函数,然后根据输入返回不同的结果,然后再次要求输入。我已经得到它返回正确的值,但是我不确定如何使它再次提示输入。 这是该函数的实际代码: 在其中包含return的每一行中,它只是在调用先前定义的函数。的和是词典,前面所定义。 我只能使用内置函数。 问题答案: 我会用while循环来做。像这样: