在 openSUSE 中使用 sudo 而无需实际更改为 root 用户（即，就像在 Ubuntu 中一样）

Question 1

sudo 是否保留HOME环境变量或将其设置为目标用户的主目录取决于其配置（详细信息请参阅手册）。并不是 Ubuntu 做对了而 SuSE 做错了，反之亦然：这两种选择都有优点和缺点。作为编剧，你的工作就是应对这两种情况。 (1) 的解决方案是运行sudo -H或传递--homedir给 gpg。

然而，以 root 身份运行 gpg 绝对是错误的方法。这给了 gpg 太多的权限，并且可能有访问权限~/.gnupg（例如，如果用户的主目录位于 NFS 上）。以拥有密钥的用户身份运行 gpg，并使其将数据打印到标准输出。管道接入tee是输出到需要特殊权限才能写入的文件的标准方法（我不知道为什么你认为它“笨拙”）：

gpg -d foo.gpg | sudo tee /run/foo

是否su需要sudo成为root取决于系统管理员的选择。同一台机器上的不同用户可以使用其中之一。除非您控制将运行脚本的所有计算机上的配置，否则请考虑这两种可能性（例如，将选项传递给脚本）。

如果您的脚本在 Ubuntu 上运行，sudo但在其他发行版或上失败su，您可能依赖于（几乎）完全重置的环境。这是sudoUbuntu 上的默认配置，但其他系统的行为可能有所不同。修复您的脚本，使其不依赖于正在重置的环境。

Answer

sudo 是否保留HOME环境变量或将其设置为目标用户的主目录取决于其配置（详细信息请参阅手册）。并不是 Ubuntu 做对了而 SuSE 做错了，反之亦然：这两种选择都有优点和缺点。作为编剧，你的工作就是应对这两种情况。 (1) 的解决方案是运行sudo -H或传递--homedir给 gpg。

然而，以 root 身份运行 gpg 绝对是错误的方法。这给了 gpg 太多的权限，并且可能有访问权限~/.gnupg（例如，如果用户的主目录位于 NFS 上）。以拥有密钥的用户身份运行 gpg，并使其将数据打印到标准输出。管道接入tee是输出到需要特殊权限才能写入的文件的标准方法（我不知道为什么你认为它“笨拙”）：

gpg -d foo.gpg | sudo tee /run/foo

是否su需要sudo成为root取决于系统管理员的选择。同一台机器上的不同用户可以使用其中之一。除非您控制将运行脚本的所有计算机上的配置，否则请考虑这两种可能性（例如，将选项传递给脚本）。

如果您的脚本在 Ubuntu 上运行，sudo但在其他发行版或上失败su，您可能依赖于（几乎）完全重置的环境。这是sudoUbuntu 上的默认配置，但其他系统的行为可能有所不同。修复您的脚本，使其不依赖于正在重置的环境。

Question 2

这主要是对问题 1 的回答，因为另一个问题是一个单独的问题，我现在没有时间解决。

Ubuntu 在安全性方面采取了一些捷径，以吸引那些不希望或不需要完全权限分离带来的额外复杂性的典型桌面用户。但是，如果您正在处理非常敏感的数据，以至于您不想将其写入磁盘，那么您就不是这样的用户，不应该通过实施 Ubuntu 风格的sudo规则来绕过标准安全架构。

警告：仅仅因为您将某些内容放入 RAM 并不意味着其他人就无法访问它。最明显的罪魁祸首是磁盘交换，它最终可能会无限期地存储 RAM 上的内容。但其他妥协也是可能的。

因此，如果您已禁用交换分区并认为这已经足够了：

比写入 /run 更好的选择可能是创建自己的 tmpfs 挂载，由将要使用它的用户拥有。例如，如果您的用户 ID 和组 ID 均为 500：

mount -t tmpfs tmpfs /home/jl/realtmp -ouid=500,gid=500

该命令必须作为运行root，但是一旦您完善了此设置，您可以将其添加到您的文件中fstab以使其永久化：

tmpfs   /home/jl/realtmp    tmpfs   uid=500,gid=500 0   0

Answer