Bagaimana memungkinkan pengguna melestarikan lingkungan dengan sudo?

17

Saya mengalami kesalahan berikut ini mencoba untuk mengizinkan beberapa variabel lingkungan melewati ke lingkungan baru ketika menjalankan sudo:

sudo: sorry, you are not allowed to preserve the environment

Beberapa informasi yang mungkin bermanfaat untuk di-debug:

[deploy@worker1 ~]$ sudo -l
    Matching Defaults entries for deploy on this host:
    requiretty, !visiblepw, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET
    XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin, env_keep+="GIT_WORK_TREE GIT_DIR", !requiretty

User deploy may run the following commands on this host:
    (ALL) NOPASSWD: /usr/bin/git, (ALL) /etc/init.d/httpd*, (ALL) /sbin/service, (ALL) /usr/bin/make, (ALL) /bin/echo

Contoh menjalankan saya:

[deploy@worker1 ~]$ export GIT_DIR="/home/ashinn/testing"
[deploy@worker1 ~]$ sudo -E sh -c 'echo "$GIT_DIR"'
sudo: sorry, you are not allowed to preserve the environment

File sudoers.d saya untuk konfigurasi spesifik ini:

Defaults:deploy         env_keep += "GIT_WORK_TREE GIT_DIR", !requiretty
deploy  ALL=(ALL)       NOPASSWD: /usr/bin/git, /etc/init.d/httpd*, /sbin/service, /usr/bin/make, /bin/echo

Saya juga mencoba menambahkan !env_resetke Default dan masih gagal dengan kesalahan yang sama. Saya merasa seperti kehilangan sesuatu yang jelas dan membutuhkan mata kedua. Apa yang kulewatkan di sini?

Andy Shinn
sumber
1
Saya percaya bahwa sekitar 93% dari kita memahami inti pertanyaan Anda, tetapi perintah contoh Anda tidak terlalu baik.  , Jika tidak gagal langsung, akan menampilkan pra nilai , karena shell memperluas variabel dalam baris perintah sebelum bahkan dipanggil. Tes yang lebih baik adalah atau atau , di mana kita benar-benar melihat lingkungan dari proses yang berjalan istimewa. sudo (option(s)) echo $GIT_DIRsudo$GIT_DIRsudosudo printenv GIT_DIRsudo env | grep GIT_DIRsudo sh -c 'echo "$GIT_DIR"'
G-Man Mengatakan 'Reinstate Monica'
Lihat juga pertanyaan ini di Stack Overflow .
Franklin Yu

Jawaban:

27

Anda dapat menggunakan SETENV"Tag" di sudoersfile Anda , seperti pada:

deploy  ALL=(ALL)       SETENV: /usr/bin/git, /etc/init.d/httpd*, /sbin/service, /usr/bin/make, /bin/echo

Atau, untuk menggabungkannya dengan NOPASSWD:

deploy  ALL=(ALL)       NOPASSWD:SETENV: /usr/bin/git, /etc/init.d/httpd*, /sbin/service, /usr/bin/make, /bin/echo

Kutipan yang relevan dari orang sudoers:

SETENV dan NOSETENV

Tag ini mengesampingkan nilai opsi setenv berdasarkan per perintah. Perhatikan bahwa jika SETENV telah ditetapkan untuk suatu perintah, pengguna dapat menonaktifkan opsi env_reset dari baris perintah melalui opsi -E. Selain itu, variabel lingkungan ditetapkan pada baris perintah tidak tunduk pada pembatasan yang diberlakukan oleh env_check, env_deleteatau env_keep. Dengan demikian, hanya pengguna tepercaya yang boleh mengatur variabel dengan cara ini. Jika perintah yang cocok adalah SEMUA, tag SETENV tersirat untuk perintah itu; default ini dapat diganti dengan menggunakan tag NOSETENV.

iodbh
sumber
1

Jangan tentukan -Eopsi. Menggunakan -EAnda mengatakan bahwa semua variabel lingkungan untuk pengguna deployharus dilestarikan, tidak hanyaGIT_DIR

Menjalankan sudo echo $GIT_DIRharus berfungsi karena Anda telah menambahkan GIT_DIRke env_keepdaftar

Stian S
sumber