如何在没有密码的情况下使用 sudo 运行文件？

Question 1

用于visudo安全的编辑环境来编辑 sudoers 文件。此脚本是一个包装器，vi它还会在您保存文件时进行语法检查，并且不会让您用无效的 sudoers 文件覆盖有效的 sudoers 文件。

添加如下一行：

username ALL= NOPASSWD: /path/to/your/script

“ALL=” 需要做一些详细说明，它指定当相关用户从任何位置（本地（控制台或终端）或远程（ssh 等））登录时授予权限。

Answer

用于visudo安全的编辑环境来编辑 sudoers 文件。此脚本是一个包装器，vi它还会在您保存文件时进行语法检查，并且不会让您用无效的 sudoers 文件覆盖有效的 sudoers 文件。

添加如下一行：

username ALL= NOPASSWD: /path/to/your/script

“ALL=” 需要做一些详细说明，它指定当相关用户从任何位置（本地（控制台或终端）或远程（ssh 等））登录时授予权限。

Question 2

为了完整起见，您可以通过设置来实现类似的效果设置用户标识文件权限中的位。

稍微有点棘手的部分是，出于安全原因，setuid内核会忽略脚本上的位，因此您需要用 C 语言编译一个小包装程序并使用它来调用您的脚本。将其保存为runscript.c：

#include <stdio.h>
#include <stdlib.h>
#include <sys/types.h>
#include <unistd.h>

int main()
{
   setuid( 0 );
   system( "/path/to/script.sh" );

   return 0;
}

然后使用以下方法编译

gcc runscript.c -o runscript

并setuid在可执行文件上设置位：

sudo chown root:root runscript
sudo chmod 4755 runscript

确保您的脚本只能由 root 写入也很重要，因为可以修改脚本的任何人都可以执行任意程序：

sudo chown root:root /path/to/script.sh
sudo chmod 0711 /path/to/script.sh

这是我从中获取包装器程序代码的一篇文章：shell 脚本上的 setuid。

从安全角度来看，这两种方法（一种sudo带有setuid）都很糟糕，但在家用机器上可能还行。区别在于每一个系统中的用户将能够运行setuid命令，即使不在sudoers文件中。另外，显然，您不需要在命令前加上sudo。

Answer

为了完整起见，您可以通过设置来实现类似的效果设置用户标识文件权限中的位。

稍微有点棘手的部分是，出于安全原因，setuid内核会忽略脚本上的位，因此您需要用 C 语言编译一个小包装程序并使用它来调用您的脚本。将其保存为runscript.c：

#include <stdio.h>
#include <stdlib.h>
#include <sys/types.h>
#include <unistd.h>

int main()
{
   setuid( 0 );
   system( "/path/to/script.sh" );

   return 0;
}

然后使用以下方法编译

gcc runscript.c -o runscript

并setuid在可执行文件上设置位：

sudo chown root:root runscript
sudo chmod 4755 runscript

确保您的脚本只能由 root 写入也很重要，因为可以修改脚本的任何人都可以执行任意程序：

sudo chown root:root /path/to/script.sh
sudo chmod 0711 /path/to/script.sh

这是我从中获取包装器程序代码的一篇文章：shell 脚本上的 setuid。

从安全角度来看，这两种方法（一种sudo带有setuid）都很糟糕，但在家用机器上可能还行。区别在于每一个系统中的用户将能够运行setuid命令，即使不在sudoers文件中。另外，显然，您不需要在命令前加上sudo。

Question 3

您需要“NOPASSWD”标签。

使用 visudo 并在文件末尾设置如下内容：

用户名 ALL=NOPASSWD: /bin/echo

将 username 替换为您的用户名，将 /bin/echo 替换为您要运行的命令。

Answer