如何允许用户使用 sudo 保存环境?

如何允许用户使用 sudo 保存环境?

我在尝试允许一些环境变量在运行时传递到新环境时遇到以下错误sudo

sudo: sorry, you are not allowed to preserve the environment

一些可能有助于调试的信息:

[deploy@worker1 ~]$ sudo -l
    Matching Defaults entries for deploy on this host:
    requiretty, !visiblepw, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET
    XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin, env_keep+="GIT_WORK_TREE GIT_DIR", !requiretty

User deploy may run the following commands on this host:
    (ALL) NOPASSWD: /usr/bin/git, (ALL) /etc/init.d/httpd*, (ALL) /sbin/service, (ALL) /usr/bin/make, (ALL) /bin/echo

我的运行示例:

[deploy@worker1 ~]$ export GIT_DIR="/home/ashinn/testing"
[deploy@worker1 ~]$ sudo -E sh -c 'echo "$GIT_DIR"'
sudo: sorry, you are not allowed to preserve the environment

我的 sudoers.d 文件针对此特定配置:

Defaults:deploy         env_keep += "GIT_WORK_TREE GIT_DIR", !requiretty
deploy  ALL=(ALL)       NOPASSWD: /usr/bin/git, /etc/init.d/httpd*, /sbin/service, /usr/bin/make, /bin/echo

我也尝试过添加!env_reset到默认值,但仍然失败并出现相同的错误。我觉得我可能忽略了一些显而易见的东西,需要再看一眼。我在这里忽略了什么?

答案1

您可以SETENV在文件中使用“标签” sudoers,例如:

deploy  ALL=(ALL)       SETENV: /usr/bin/git, /etc/init.d/httpd*, /sbin/service, /usr/bin/make, /bin/echo

或者,将其与 NOPASSWD 结合:

deploy  ALL=(ALL)       NOPASSWD:SETENV: /usr/bin/git, /etc/init.d/httpd*, /sbin/service, /usr/bin/make, /bin/echo

sudoers man 的相关摘录:

SETENV 和 NOSETENV

这些标记会根据每个命令覆盖 setenv 选项的值。请注意,如果已为命令设置了 SETENV,则用户可以通过 -E 选项从命令行禁用 env_reset 选项。此外,在命令行上设置的环境变量不受 、 或 施加的限制env_checkenv_delete因此env_keep,只有受信任的用户才应被允许以这种方式设置变量。如果匹配的命令是 ALL,则该命令隐含 SETENV 标记;可以使用 NOSETENV 标记覆盖此默认值。

答案2

不要指定-E选项。使用-E你说应该保留用户的所有环境变量deploy,而不仅仅是GIT_DIR

跑步sudo echo $GIT_DIR应该有效,因为你已经添加GIT_DIRenv_keep列表中

相关内容