如何防止sudo中使用调用者的shell

Question 1

那么答案是sudo有一个错误。首先，解决方法：我把它放在我的/etc/sudoers.d/zabbix file：

zabbix ALL=(root) NOPASSWD: /bin/env SHELL=/bin/sh /usr/local/bin/zabbix_raid_discovery

现在从zabbix_raid_discovery工作中调用子命令。

修复此问题的补丁将在 sudo 1.8.15 中发布。来自维护者 Todd Miller：

这只是“一直都是这样”的情况。没有
这确实是一个很好的理由。下面的差异应该使行为
与文档匹配。

 - 托德

diff -r adb927ad5e86 插件/sudoers/env.c
--- a/plugins/sudoers/env.c 2015 年 10 月 6 日星期二 -0600
+++ b/plugins/sudoers/env.c 2015 年 10 月 6 日星期二 10:04:03 -0600
@@ -939,8 +939,6 @@
            CHECK_SETENV2("用户名", runas_pw->pw_name,
                ISSET(didvar, DID_USERNAME), true);
        } 别的 {
- if (!ISSET(didvar, DID_SHELL))
- CHECK_SETENV2("SHELL", sudo_user.pw->pw_shell, false, true);
            /* 我们稍后将在 def_set_logname 情况下设置 LOGNAME。 */
            if (!def_set_logname) {
                if (!ISSET(didvar, DID_LOGNAME))
@@ -984,6 +982,8 @@
            if (!env_should_delete(*ep)) {
                if (strncmp(*ep, "SUDO_PS1=", 9) == 0)
                    ps1 = *ep + 5;
+ else if (strncmp(*ep, "SHELL=", 6) == 0)
+ SET(didvar, DID_SHELL);
                否则 if (strncmp(*ep, "PATH=", 5) == 0)
                    SET(didvar, DID_PATH);
                否则 if (strncmp(*ep, "TERM=", 5) == 0)
@@ -1039,7 +1039,9 @@
     如果（重置主页）
        CHECK_SETENV2("HOME", runas_pw->pw_dir, true, true);

- /* 如果未设置 $TERM 和 $PATH，则为它们提供默认值。 */
+ /* 如果未设置，则为 $SHELL、$TERM 和 $PATH 提供默认值。 */
+ if (!ISSET(didvar, DID_SHELL))
+ CHECK_SETENV2("SHELL", runas_pw->pw_shell, false, false);
     if (!ISSET(didvar, DID_TERM))
        CHECK_PUTENV("TERM=未知", false, false);
     if (!ISSET(didvar, DID_PATH))

Answer

那么答案是sudo有一个错误。首先，解决方法：我把它放在我的/etc/sudoers.d/zabbix file：

zabbix ALL=(root) NOPASSWD: /bin/env SHELL=/bin/sh /usr/local/bin/zabbix_raid_discovery

现在从zabbix_raid_discovery工作中调用子命令。

修复此问题的补丁将在 sudo 1.8.15 中发布。来自维护者 Todd Miller：

这只是“一直都是这样”的情况。没有
这确实是一个很好的理由。下面的差异应该使行为
与文档匹配。

 - 托德

diff -r adb927ad5e86 插件/sudoers/env.c
--- a/plugins/sudoers/env.c 2015 年 10 月 6 日星期二 -0600
+++ b/plugins/sudoers/env.c 2015 年 10 月 6 日星期二 10:04:03 -0600
@@ -939,8 +939,6 @@
            CHECK_SETENV2("用户名", runas_pw->pw_name,
                ISSET(didvar, DID_USERNAME), true);
        } 别的 {
- if (!ISSET(didvar, DID_SHELL))
- CHECK_SETENV2("SHELL", sudo_user.pw->pw_shell, false, true);
            /* 我们稍后将在 def_set_logname 情况下设置 LOGNAME。 */
            if (!def_set_logname) {
                if (!ISSET(didvar, DID_LOGNAME))
@@ -984,6 +982,8 @@
            if (!env_should_delete(*ep)) {
                if (strncmp(*ep, "SUDO_PS1=", 9) == 0)
                    ps1 = *ep + 5;
+ else if (strncmp(*ep, "SHELL=", 6) == 0)
+ SET(didvar, DID_SHELL);
                否则 if (strncmp(*ep, "PATH=", 5) == 0)
                    SET(didvar, DID_PATH);
                否则 if (strncmp(*ep, "TERM=", 5) == 0)
@@ -1039,7 +1039,9 @@
     如果（重置主页）
        CHECK_SETENV2("HOME", runas_pw->pw_dir, true, true);

- /* 如果未设置 $TERM 和 $PATH，则为它们提供默认值。 */
+ /* 如果未设置，则为 $SHELL、$TERM 和 $PATH 提供默认值。 */
+ if (!ISSET(didvar, DID_SHELL))
+ CHECK_SETENV2("SHELL", runas_pw->pw_shell, false, false);
     if (!ISSET(didvar, DID_TERM))
        CHECK_PUTENV("TERM=未知", false, false);
     if (!ISSET(didvar, DID_PATH))

Question 2

问题是我认为问题出在哪里，但事实证明问题不在于 SHELL 变量发生了什么，而是 sudo 实际做了什么。例如：

-bash-4.1$ whoami
测试哥们
-bash-4.1$ grep testdude /etc/passwd
testdude:x:1001:10:测试哥们:/tmp:/bin/bash
-bash-4.1$ sudo 环境
[sudo] testdude 的密码：
...
外壳=/bin/bash
...

到目前为止，一切都很好。 ...但问题是 sudo 使用调用者的 shell 而不是被调用者，这与文档相反。事实上，如果我通过编辑 /etc/passwd 来更改 shell，您可以看到 sudo 遵循调用者的 shell，而不是SHELL：

-bash-4.1$ grep root /etc/passwd
根:x:0:0:根:/根:/bin/bash
-bash-4.1$ sudo sed -i -e '/testdude/s/bash/sh/' /etc/passwd
-bash-4.1$ grep testdude /etc/passwd
testdude:x:1001:10:测试哥们:/tmp:/bin/sh
-bash-4.1$ sudo 环境
...
外壳=/bin/sh
...
-bash-4.1$ 导出SHELL=/完全/无意义/路径
-bash-4.1$ sudo 环境
...
外壳=/bin/sh
...

我无法使用，sudo -i因为我不想模拟初始登录。sudo -s只要 sudoers 文件中有正确的命令，就可以工作。然而，预期的行为（如手册页中所反映的：“ The new environment contains the TERM, PATH, HOME, MAIL, SHELL, LOGNAME, USER, USERNAME and SUDO_* variables”）是 shell 是被调用者的。如果您查看sudo env 的PATH、HOME、LOGNAME和USER变量，您将看到 root 的内容。SHELL也应该是 root 的 shell。

Answer

问题是我认为问题出在哪里，但事实证明问题不在于 SHELL 变量发生了什么，而是 sudo 实际做了什么。例如：

-bash-4.1$ whoami
测试哥们
-bash-4.1$ grep testdude /etc/passwd
testdude:x:1001:10:测试哥们:/tmp:/bin/bash
-bash-4.1$ sudo 环境
[sudo] testdude 的密码：
...
外壳=/bin/bash
...

到目前为止，一切都很好。 ...但问题是 sudo 使用调用者的 shell 而不是被调用者，这与文档相反。事实上，如果我通过编辑 /etc/passwd 来更改 shell，您可以看到 sudo 遵循调用者的 shell，而不是SHELL：

-bash-4.1$ grep root /etc/passwd
根:x:0:0:根:/根:/bin/bash
-bash-4.1$ sudo sed -i -e '/testdude/s/bash/sh/' /etc/passwd
-bash-4.1$ grep testdude /etc/passwd
testdude:x:1001:10:测试哥们:/tmp:/bin/sh
-bash-4.1$ sudo 环境
...
外壳=/bin/sh
...
-bash-4.1$ 导出SHELL=/完全/无意义/路径
-bash-4.1$ sudo 环境
...
外壳=/bin/sh
...

我无法使用，sudo -i因为我不想模拟初始登录。sudo -s只要 sudoers 文件中有正确的命令，就可以工作。然而，预期的行为（如手册页中所反映的：“ The new environment contains the TERM, PATH, HOME, MAIL, SHELL, LOGNAME, USER, USERNAME and SUDO_* variables”）是 shell 是被调用者的。如果您查看sudo env 的PATH、HOME、LOGNAME和USER变量，您将看到 root 的内容。SHELL也应该是 root 的 shell。

如何防止sudo中使用调用者的shell

答案1

答案2

相关内容