Bagaimana menjalankan program tertentu sebagai root tanpa kata sandi?

Saya perlu menjalankan sesuatu sebagai sudo tanpa kata sandi, jadi saya menggunakan visudodan menambahkan ini ke sudoersfile saya :

MYUSERNAME ALL = NOPASSWD: /path/to/my/program

Lalu saya mencobanya:

$ sudo /path/to/my/program
[sudo] password for MYUSERNAME: 

Mengapa ia meminta kata sandi? Bagaimana saya bisa menjalankan / menggunakan perintah sebagai root dengan pengguna non-root, tanpa meminta kata sandi?

Anda memiliki entri lain dalam sudoersfile yang juga cocok dengan pengguna Anda. The NOPASSWDrule perlu setelah itu satu dalam rangka untuk itu untuk didahulukan.

Setelah melakukan itu, biasanya sudoakan meminta kata sandi untuk semua perintah kecuali /path/to/my/program, yang akan selalu membiarkan Anda berjalan tanpa meminta kata sandi Anda.

Jika ada beberapa entri yang cocok /etc/sudoers, sudo menggunakan yang terakhir. Oleh karena itu, jika Anda dapat menjalankan perintah apa pun dengan prompt kata sandi, dan Anda ingin dapat menjalankan perintah tertentu tanpa prompt kata sandi, Anda memerlukan pengecualian yang terakhir.

myusername ALL = (ALL) ALL
myusername ALL = (root) NOPASSWD: /path/to/my/program

Perhatikan penggunaan (root), untuk memungkinkan program dijalankan sebagai root tetapi tidak sebagai pengguna lain. (Jangan memberikan izin lebih dari minimum yang diminta kecuali Anda sudah memikirkan implikasinya.)

Catatan untuk pembaca yang tidak menjalankan Ubuntu atau yang telah mengubah konfigurasi sudo default (sudo Ubuntu ok secara default) : Menjalankan skrip shell dengan hak akses tinggi berisiko, Anda harus mulai dari lingkungan yang bersih (setelah shell sudah dimulai, sudah terlambat (lihat Izinkan setuid pada skrip shell ), jadi Anda perlu sudo untuk mengurusnya). Pastikan bahwa Anda memiliki Defaults env_resetdi /etc/sudoersatau bahwa pilihan ini adalah kompilasi-waktu default ( sudo sudo -V | grep envharus mencakup Reset the environment to a default set of variables).

PERINGATAN : Jawaban ini dianggap tidak aman. Lihat komentar di bawah

Solusi Lengkap: Langkah-langkah berikut akan membantu Anda mencapai hasil yang diinginkan:

1. Buat file skrip baru (ganti create_dir.shdengan nama skrip yang Anda inginkan):

   vim ~/create_dir.sh
   

   Script akan dibuat di direktori home pengguna

2. Tambahkan beberapa perintah yang hanya dapat dijalankan oleh rootatau sudopengguna seperti membuat folder di tingkat direktori root:

   mkdir /abc
   

   Catatan: Jangan tambahkan sudoperintah ini. Simpan dan keluar (menggunakan :wq!)

3. Tetapkan eksekusi untuk menggunakan itu:

   sudo chmod u+x create_dir.sh
   

4. Buat perubahan agar skrip ini tidak memerlukan kata sandi.

   1. Buka sudoersfile:

      sudo visudo -f /etc/sudoers
      

   2. Tambahkan baris berikut di akhir:

      ahmad ALL=(root) NOPASSWD: /home/ahmad/create_dir.sh
      

      Ganti ahmaddengan apa pun nama pengguna Anda. Pastikan juga ini adalah baris terakhir. Simpan dan keluar.

5. Sekarang ketika menjalankan perintah tambahkan sudosebelum itu seperti:

   sudo ./create_dir.sh
   

   Ini akan menjalankan perintah di dalam file skrip tanpa meminta kata sandi.

Ikuti langkah-langkah mudah yang disebutkan di sini http://step4wd.com/2013/09/14/run-root-commands-in-linux-ubuntu-without-password/

Saya pikir sintaks Anda salah. Setidaknya saya menggunakan yang berikut ini yang berfungsi untuk saya:

myusername ALL=(ALL) NOPASSWD: /path/to/executable

Jika Anda ingin menghindari penggunaan sudo atau mengubah file konfigurasi sudoers, Anda dapat menggunakan:

sudo chown root:root path/to/command/COMMAND_NAME
sudo chmod 4775 path/to/command/COMMAND_NAME

Ini akan membuat perintah dijalankan sebagai root tanpa perlu sudo.

Jika Anda memiliki distro seperti Manjaro, Anda harus berurusan dengan file yang mengesampingkan definisi / etc / sudoers, Anda dapat menghapusnya atau bekerja secara langsung dengan file itu untuk menambahkan konfigurasi baru Anda.

File ini adalah:

sudo cat /etc/sudoers.d/10-installer

Cara HANYA untuk melihatnya di bawah hak akses root, Anda tidak dapat mendaftar direktori ini tanpa itu, file ini spesifik Manjaro, Anda mungkin menemukan konfigurasi ini dengan nama lain, tetapi dalam direktori yang sama.

Dalam file pilihan Anda, Anda dapat menambahkan baris berikut untuk mendapatkan konfigurasi yang Anda inginkan:

Abaikan otentikasi untuk grup

%group ALL=(ALL) NOPASSWD: ALL

atau Abaikan otentikasi untuk pengguna

youruser ALL=(ALL) NOPASSWD: ALL

atau Abaikan otentikasi yang dapat dieksekusi untuk pengguna tertentu

youruser ALL=(ALL) NOPASSWD: /path/to/executable

CATATAN CEPAT: Anda membuka pintu untuk menggunakan SUDO tanpa otentikasi, itu berarti Anda dapat menjalankan semuanya memodifikasi segala sesuatu dari sistem Anda, menggunakannya dengan responsabilitas.

Pastikan sudo tidak alias. Jalankan seperti ini

/usr/bin/sudo /path/to/my/program

Misalnya shell alias seperti ini:

alias sudo="sudo env PATH=$PATH"

dapat menyebabkan perilaku ini.

Saat Anda menjalankan skrip, Anda harus menjalankannya sebagai sudo /path/to/my/script.

Sunting: Berdasarkan komentar Anda ke jawaban lain, Anda ingin menjalankan ini dari ikon. Anda perlu membuat .desktopfile yang mengeksekusi program Anda dengan sudo, seperti pada terminal.

Anda juga dapat mempertimbangkan gtk-sudountuk menggunakan prompt kata sandi visual.

Anda mungkin harus mempertimbangkan gagasan bahwa Anda seharusnya tidak menjalankan sesuatu sebagai root dan mengubah sistem lebih jauh sehingga Anda tidak memerlukan izin root sama sekali akan menjadi cara yang lebih baik.

Ini menyelesaikan masalah bagi saya (juga mencoba beberapa jawaban lain, yang mungkin membantu):

Script yang saya panggil ada di /usr/bin, direktori yang saya tidak punya izin menulis (meskipun saya biasanya dapat membaca file apa pun di sana). Script chmodded + x (permisison yang dapat dieksekusi), tetapi masih tidak berfungsi. Memindahkan file ini ke jalur di direktori home saya, alih-alih /usr/bin, saya akhirnya bisa memanggilnya dengan sudo tanpa memasukkan kata sandi.

Juga sesuatu yang saya ragukan (mengklarifikasi untuk pembaca masa depan): Anda perlu menjalankan skrip Anda sebagai sudo. Ketik sudosaat memanggil skrip. Jangan gunakan sudountuk perintah di dalam skrip Anda yang sebenarnya membutuhkan root (mengubah backlight keyboard dalam kasus saya). Mungkin itu juga berhasil, tetapi Anda tidak perlu, dan sepertinya solusi yang lebih baik untuk tidak melakukannya.

Kemungkinan lain mungkin untuk menginstal, mengkonfigurasi, lalu menggunakan perintah super untuk menjalankan skrip Anda sebagai

super /path/to/your/script

Jika Anda ingin menjalankan beberapa biner yang dapat dieksekusi (mis. Anda telah dikompilasi ke dalam biner ELF dari beberapa kode sumber C) -yang bukan skrip- sebagai root, Anda dapat mempertimbangkan membuatnya setuid (dan sebenarnya /bin/login, /usr/bin/sudodan /bin/sudan supersemuanya menggunakan teknik itu ). Namun, berhati-hatilah, Anda bisa membuka lubang keamanan besar .

Secara konkret, program Anda harus diberi kode paranoik (jadi periksalah semua argumen dan lingkungan dan kondisi di luar sebelum "bertindak", dengan asumsi pengguna yang berpotensi memusuhi), maka Anda dapat menggunakan seteuid (2) dan teman-teman (lihat juga setreuid (2) ) dengan cermat (lihat juga kemampuan (7) & kredensial (7) & laksanakan (2) ...)

Anda akan menggunakan chmod u+s(baca chmod (1) ) saat memasang biner seperti itu.

Tapi berhati-hatilah .

Baca banyak hal tentang setuid , termasuk Pemrograman Linux Lanjut , sebelum mengkode hal semacam itu.

Perhatikan bahwa sebuah skrip, atau hal apa pun yang terkait dengan shebang , tidak dapat disetuid. Tapi Anda bisa membuat kode (dalam C) sebuah set biner-biner kecil yang membungkusnya.

Idealnya jika Anda mengkustomisasi perintah apa yang dapat dijalankan melalui sudoAnda harus membuat perubahan ini dalam file terpisah di bawah /etc/sudoers.d/bukannya mengedit sudoersfile secara langsung. Anda juga harus selalu menggunakan visudountuk mengedit file. Anda harus PERNAH memberikan NOPASSWDpada ALLperintah.

Contoh: sudo visudo -f /etc/sudoers.d/mynotriskycommand

Masukkan izin pemberian baris Anda: myuser ALL= NOPASSWD: /path/to/your/program

Kemudian simpan dan keluar dan visudoakan memperingatkan Anda jika Anda memiliki kesalahan sintaksis.

Anda dapat berlari sudo -luntuk melihat izin yang telah diberikan oleh pengguna Anda, jika ada NOPASSWDperintah khusus pengguna yang muncul SEBELUM %groupyouarein ALL=(ALL) ALLperintah apa pun dalam output, Anda akan dimintai kata sandi.

Jika Anda menemukan diri Anda membuat banyak file sudoers.d ini, maka mungkin Anda ingin membuatnya bernama per pengguna sehingga lebih mudah untuk divisualisasikan. Perlu diingat bahwa urutan NAMA FILE dan ATURAN dalam file sangat penting, yang TERAKHIR yang dimuat menang, apakah LEBIH atau KURANG permisif daripada entri sebelumnya.

Anda dapat mengontrol urutan nama file dengan menggunakan awalan 00-99 atau aa / bb / cc, meskipun juga perlu diingat bahwa jika Anda memiliki file APA PUN yang tidak memiliki awalan numerik, mereka akan memuat setelah file bernomor, menimpa pengaturan. Ini karena tergantung pada pengaturan bahasa Anda, "pengurutan leksikal" shell menggunakan nomor urut pertama dan kemudian dapat interleave huruf besar dan kecil ketika mengurutkan dalam urutan "naik".

Coba jalankan printf '%s\n' {{0..99},{A-Z},{a-z}} | sortdan printf '%s\n' {{0..99},{A-Z},{a-z}} | LANG=C sortuntuk melihat apakah bahasa Anda saat ini mencetak AaBbCcdll atau ABCkemudian abcuntuk menentukan apa awalan huruf "terakhir" terbaik yang akan digunakan.

Agar setiap pengguna dapat menjalankan program sebagai sudo tanpa meminta kata sandi, Anda dapat menambahkan baris berikut

%sudo ALL=(root) NOPASSWD: /path/to/your/program

di /etc/sudoers

Perhatikan bahwa % sudo berhasil.

Berikut ini adalah untuk kasus di mana Anda ingin menjalankan perintah tanpa kata sandi hanya jika memiliki serangkaian opsi tertentu, di mana bagian dari opsi adalah variabel . AFAIK tidak mungkin menggunakan variabel atau rentang nilai dalam deklarasi sudoers, yaitu Anda dapat mengizinkan akses secara eksplisit ke command option1tetapi tidak command option2menggunakan:

user_name ALL=(root) /usr/bin/command option1

tetapi jika strukturnya command option1 value1, di mana value1bisa bervariasi, Anda harus memiliki garis sudoer eksplisit untuk setiap nilai yang mungkin value1. Script shell menyediakan jalan keluar.

Jawaban ini terinspirasi oleh jawaban M. Ahmad Zafar dan memperbaiki masalah keamanan di sana.

1. Buat skrip shell tempat Anda memanggil perintah tanpa sudo.
2. Simpan skrip dalam folder istimewa root (mis. /usr/local/bin/), Buat file milik root (mis. chown root:wheel /usr/local/bin/script_name) Tanpa akses tulis untuk orang lain (mis chmod 755 /usr/local/bin/script_name.).

3. Tambahkan pengecualian ke sudoers menggunakan visudo:

   user_name ALL=(root) NOPASSWD: /usr/local/bin/script_name.

4. Jalankan skrip Anda sudo script_name.

Sebagai contoh, saya ingin mengubah waktu tidur tampilan pada macOS. Ini dilakukan dengan menggunakan:

sudo pmset displaysleep time_in_minutes

Saya menganggap mengubah batas waktu tidur sebagai tindakan tidak bersalah yang tidak membenarkan kerumitan pengetikan kata sandi, tetapi pmsetdapat melakukan banyak hal dan saya ingin menyimpan hal-hal lain ini di belakang kata sandi sudo.

Jadi saya punya skrip berikut di /usr/local/bin/ds:

#!/bin/bash
if [ $# -eq 0 ]; then
        echo 'To set displaysleep time, run "sudo ds [sleep_time_in_minutes]"'
else
        if [[ $1 =~ ^([0-9]|[1-9][0-9]|1[0-7][0-9]|180)$ ]]; then
                pmset displaysleep $1 
        else
                echo 'Time must be 0..180, where 0 = never, 1..180 = number of minutes'
        fi
fi

Di akhir sudoersfile saya memiliki baris berikut:

user_name ALL=(root) NOPASSWD: /usr/local/bin/ds

Untuk menetapkan batas waktu 3 menit, saya menjalankan skrip saya dari akun pengguna biasa user_name:

sudo ds 3

PS Sebagian besar skrip saya adalah validasi input, yang tidak wajib, jadi yang berikut ini juga berfungsi:

#!/bin/bash
pmset displaysleep $1