限制使用 `sudo -s`

nagios ALL=NOPASSWD: /bin/bash -c /usr/lib/nagios/plugins/check_ide_smart *

这应该可行并且允许争论。

仅供参考，您需要在 shell 脚本中引用 $@ 才能使其正常工作：

#!/bin/sh
/bin/bash -c /usr/lib/nagios/plugins/check_ide_plugin "$@"

$@很神奇。从 bash 手册页来看，

@扩展为位置参数，从 1 开始。当扩展发生在双引号内时，每个参数都会扩展为一个单独的单词。也就是说，“$@”相当于“$1”“$2”……如果双引号扩展发生在单词内，则第一个参数的扩展与原始单词的开头部分连接，最后一个参数的扩展与原始单词的末尾部分连接。当没有位置参数时，“$@”和 $@ 扩展为空（即它们被删除）。

此外，启动 bash 不会生成 pty；不过我很困惑为什么你的 nagios 插件需要终端才能运行。它不应该。也许真正的问题是 sudo 的环境清理？

无需使用sudo -s并启动 root shell，只需允许您的 nagios 用户使用 sudo 而无需使用 tty 即可!requiretty。您/etc/sudoers应该具有以下内容：

# Allow Nagios extra privs
Defaults:nagios !requiretty
nagios ALL=NOPASSWD: /usr/lib/nagios/plugins/check_ide_plugin

... 这将允许直接 sudo 访问，无需密码，也无需 tty。如果您希望 sudo 访问所有插件，则可以关闭“check_ide_plugin”。

我们还使用 NRPE，它似乎比 check_by_ssh 更安全，但需要更多设置。 /etc/sudoers 中的想法相同，只需将 nagios 替换为 nrpe。:)

~汤米

我认为不可能使用 -s 而不生成 root shell（假设您需要 root 权限）。-s 选项专门用于生成 shell。这就是 -s 的意思。来自 sudo(8)：

-s [command]
    The -s (shell) option runs the shell specified by the SHELL
    environment variable if it is set or the shell as specified
    in passwd(5).  If a command is specified, it is passed to
    the shell for execution.  Otherwise, an interactive shell
    is executed.