ユーザーがパスワードなしで「sudo」を使用できることを確認する

tag-icon tag-icon bash shell-script command-line sudo command-substitution
ユーザーがパスワードなしで「sudo」を使用できることを確認する

ユーザーが利用できるかどうかを確認したいのですがsudo-いいえbashシェルスクリプト用のパスワードを作成する必要があります。私はいくつかの調査を行い、次の事実を見つけました。

sudoersinで構成されていないため使用できないユーザーのsudo場合sudo -n <command> いつも端末にメッセージを印刷しますsudo: a password is required。そしてユーザーが利用可能な場合sudo-sudoセッションで実行されていない、sudoまたは停止する期限切れ -sudo: a password is requiredメッセージが再印刷されます。

また、正しい解決策を使用してください(ただし他の場合)。

$(sudo -n uptime 2>&1 | grep "load" | wc -l)

sudo承認されていないユーザーの場合いつも0を返します。ユーザーが利用できsudosudo停止するそれでも有効 - 1を返し、そうでない場合は0を返します。

質問:だからこの方法を使うのはいいえコマンドを使用すると、ユーザーが利用可能かどうかを実際に知ることができますsudo。このソリューションは、次のことを知っている場合にのみ可能ですsudo停止するまだ有効ですか?

これまでのsudo -v解決策はほぼ次のとおりです。

sudoersコマンドで返された構成を持たないユーザーの場合

Sorry, user <username> may not run sudo on <hostname>.

ユーザーが利用できる場合はパスワードが必要ですsudosudo -vそれが有効な場合、sudoまたは停止するそれでも有効です。。したがって、ここまでは明確な違いと解決策はありません。しかし、Bash Shell仕事をしていて使うべきだからコマンドの置き換え

is_user_sudo=$(sudo -v) # if is empty sudo can be used otherwise not

質問パスワードプロンプト部分を避けたいです。これが解決策になります。

sudo -kまたは、パスワードを要求しないなどの他のパラメータ(もちろん、他のタスクを実行する)や目的を達成するための別のコマンドがある場合。

ターゲット:唯一ルートではない利用可能なユーザーはsudoいくつかのbashスクリプトを実行できます。したがって、スクリプト内でタイプを識別するコマンドが必要です。ルートではないユーザー - したがって、non-root使用できないユーザーに通知してスクリプトの実行を停止するsudo必要があります。

たとえば、

# an if statement about 'id -u' not equals a 0
can_use_sudo=$(<command> whoami) # so the non-root user 
                                 # is able to use sudo or not?

whoami識別する他のコマンドに置き換えることができます。WHOスクリプト実行中

ベストアンサー1

私はあなたがこれをしたい理由とスクリプトの冒頭sudo whoamiでユーザーにすぐにパスワードを尋ね、ユーザーが続行できないときに終了するために何かを実行または実行しない理由をよく理解していないことを認めます。いいですね。少なくともLinuxシステムでは動作します(sudoまだ他の実装を確認していません)。

sudo_response=$(SUDO_ASKPASS=/bin/false sudo -A whoami 2>&1 | wc -l)
if [ $sudo_response = 2 ]; then
    can_sudo=1
elif [ $sudo_response = 1 ]; then
    can_sudo=0
else
    echo "Unexpected sudo response: $sudo_response" >&2
    exit 1
fi

askpassここでの秘密は、他のプログラムを使用してパスワードを確認するオプションを利用することです。sudoこれを設定すると、ユーザーがrootとしてコマンドを実行できるかどうかに応じて、2つの標準応答を取得/bin/falseできます。sudo

## A user with sudo rights
terdon@tpad $ SUDO_ASKPASS=/bin/false sudo -A whoami 2>&1 
sudo: no password was provided
sudo: a password is required

## A user without sudo rights
bib@tpad $ SUDO_ASKPASS=/bin/false sudo -A whoami
bib is not in the sudoers file.  This incident will be reported.

したがって、stderrをstdoutにリダイレクトした後の応答が2行の場合、ユーザーはsudoコマンドを実行でき、1行の場合はコマンドを実行できません。

重要:私はこれを広くテストしていません。上記のように、2人のユーザーを持つ単一のArch Linuxシステムでのみ試しました。上記のコマンドの出力を変更できる場合は、他のシステムで期待どおりに機能しなくても驚くことはありません。

sudo明らかな失敗の場合:ユーザーがパスワードなしでコマンドを実行するように構成されている場合、これは機能しません。

おすすめ記事