Как разрешить пользователю сохранять среду с помощью sudo?

17

Я сталкиваюсь со следующей ошибкой, пытаясь разрешить некоторым переменным среды проходить в новую среду при запуске sudo:

sudo: sorry, you are not allowed to preserve the environment

Некоторая информация, которая может быть полезна для отладки:

[deploy@worker1 ~]$ sudo -l
    Matching Defaults entries for deploy on this host:
    requiretty, !visiblepw, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET
    XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin, env_keep+="GIT_WORK_TREE GIT_DIR", !requiretty

User deploy may run the following commands on this host:
    (ALL) NOPASSWD: /usr/bin/git, (ALL) /etc/init.d/httpd*, (ALL) /sbin/service, (ALL) /usr/bin/make, (ALL) /bin/echo

Мой бегущий пример:

[deploy@worker1 ~]$ export GIT_DIR="/home/ashinn/testing"
[deploy@worker1 ~]$ sudo -E sh -c 'echo "$GIT_DIR"'
sudo: sorry, you are not allowed to preserve the environment

Мой файл sudoers.d для этой конкретной конфигурации:

Defaults:deploy         env_keep += "GIT_WORK_TREE GIT_DIR", !requiretty
deploy  ALL=(ALL)       NOPASSWD: /usr/bin/git, /etc/init.d/httpd*, /sbin/service, /usr/bin/make, /bin/echo

Я также попытался добавить !env_resetк значениям по умолчанию, и он по-прежнему не удается с той же ошибкой. Я чувствую, что могу упустить что-то очевидное и мне нужен второй набор глаз. Что мне здесь не хватает?

Энди Шинн
источник
1
Я считаю, что примерно 93% из нас понимают суть вашего вопроса, но ваш пример команды не очень хорош.  , если это не сработает сразу, отобразится предварительное значение , потому что оболочка раскрывает переменную в командной строке еще до того, как будет вызвана. Лучшие тесты - это или или , где мы на самом деле смотрим на среду процесса, который выполняется привилегированно. sudo (option(s)) echo $GIT_DIRsudo$GIT_DIRsudosudo printenv GIT_DIRsudo env | grep GIT_DIRsudo sh -c 'echo "$GIT_DIR"'
G-Man говорит: «Восстанови Монику»
Смотрите также этот вопрос о переполнении стека .
Франклин Ю

Ответы:

27

Вы можете использовать SETENVтег в вашем sudoersфайле, например:

deploy  ALL=(ALL)       SETENV: /usr/bin/git, /etc/init.d/httpd*, /sbin/service, /usr/bin/make, /bin/echo

Или, чтобы объединить это с NOPASSWD:

deploy  ALL=(ALL)       NOPASSWD:SETENV: /usr/bin/git, /etc/init.d/httpd*, /sbin/service, /usr/bin/make, /bin/echo

Соответствующий отрывок из sudoers man:

SETENV и NOSETENV

Эти теги переопределяют значение параметра setenv для каждой команды. Обратите внимание, что если для команды был установлен SETENV, пользователь может отключить опцию env_reset из командной строки через опцию -E. Кроме того, переменные окружения , установленные в командной строке не распространяются ограничения , налагаемые env_check, env_deleteили env_keep. Таким образом, только доверенные пользователи могут устанавливать переменные таким образом. Если команда соответствует ALL, тег SETENV подразумевается для этой команды; это значение по умолчанию может быть переопределено с помощью тега NOSETENV.

iodbh
источник
1

Не указывайте -Eопцию. Используя, -Eвы говорите, что все переменные окружения для пользователя deployдолжны быть сохранены, а не толькоGIT_DIR

Запуск sudo echo $GIT_DIRдолжен работать, потому что вы добавили GIT_DIRв env_keepсписок

Stian S
источник