Запустите скрипт оболочки как другой пользователь, у которого нет пароля

245

Я хотел бы запустить скрипт из основной оболочки Ubuntu от имени другого пользователя без пароля.

У меня есть полные привилегии sudo, поэтому я попробовал это:

sudo su -c "Your command right here" -s /bin/sh otheruser

Затем я должен ввести свой пароль, но я не уверен, что этот скрипт действительно работает под этим пользователем.

Как я могу подтвердить, что скрипт действительно работает под этим пользователем сейчас?

rubo77
источник

Ответы:

354

Вы можете сделать это с suили sudo, нет необходимости в обоих.

sudo -H -u otheruser bash -c 'echo "I am $USER, with uid $UID"' 

Соответствующие части man sudo:

-H   The -H (HOME) option requests that the security policy set
     the HOME environment variable to the home directory of the
     target user (root by default) as specified by the password
     database.  Depending on the policy, this may be the default
     behavior.
-u user     The -u (user) option causes sudo to run the specified
      command as a user other than root.  To specify a uid
      instead of a user name, use #uid.  When running commands as
      a uid, many shells require that the '#' be escaped with a
      backslash ('\').  Security policies may restrict uids to
      those listed in the password database.  The sudoers policy
      allows uids that are not in the password database as long
      as the targetpw option is not set.  Other security policies
      may not support this.

suможет только переключить пользователя без предоставления пароля, если вы являетесь пользователем root. Смотрите ответ Калеба

Вы можете изменить /etc/pam.d/suфайл, чтобы разрешить suбез пароля. Смотрите этот ответ .

Если вы изменили файл аутентификации к следующему, любому пользователю , который был часть группы somegroupмогла , suчтобы otheruserбез пароля.

auth       sufficient pam_rootok.so
auth       [success=ignore default=1] pam_succeed_if.so user = otheruser
auth       sufficient   pam_succeed_if.so use_uid user ingroup somegroup

Тогда тест с терминала

rubo77@local$ su otheruser -c 'echo "hello from $USER"'
hello from otheruser
geirha
источник
4
Можете ли вы добавить, как это сделать, просто suслишком?
rubo77
2
Это просит у меня пароль :-(
IanVaughan
1
@IanVaughan, с конфигурацией по умолчанию (sudo), вам будет предложено ввести пароль, если вы не запустите его от имени пользователя root. Вы можете настроить sudo так, чтобы «разрешить пользователю A запускать cmd C от имени пользователя B без пароля». См. Help.ubuntu.com/community/Sudoers
гейра
1
У меня запрашивают пароль при запуске от имени пользователя root. Какие-либо предложения?
конец
1
@NamGVU имейте в виду, что порядок имеет значение. Если у вашего пользователя sudoers есть правило, устанавливающее другие разрешения для вашего пользователя или группы, в которую вы входите, то оно переопределит ваше правило NOPASSWD.
Гейра
100

Если вы хотите использовать su вместо sudo, я думаю, вы можете использовать что-то вроде этого:

su - <username> -c "<commands>"
  • - будет имитировать логин указанного пользователя
  • -c говорит, что вы хотите запустить команду

пс. К сожалению, я не могу установить ruby, используя rvm с этим методом, но это, вероятно, не связано.

Калеб
источник
5
Мне нужно было добавить sudoв начало, иначе он попросил у меня пароль.
IanVaughan
2
Это определенно не работает без sudo. с sudo это работает, например: sudo su - www-data -c "touch /tmp/test"успешно создан файл как www-data
rubo77
Чтобы использовать «su», вам нужен пароль root, смысл «sudo» - избегать этого. Если у вас есть пароль root с использованием «su», как указано выше, должно работать нормально.
Самуэль Ослунд
6

Ответы выше действительно полезны для меня, но чтобы ответить на реальный вопрос ...

Как я могу подтвердить, что скрипт действительно работает под этим пользователем? -

Использование:

ps -ef | grep <command-name>

Вывод должен включать ваш скрипт и фактический пользователь, выполняющий его. Люди в BSD-подобных системах, например MAC, могут найти похожую информацию с помощью:

ps aux | grep <command-name>
Самуэль Ослунд
источник
Пользователи Linux могут использовать ps aux.
Дин Хауэлл
@DeanHowell; Да, но пользователи MAC не могут использовать «ps -ef», а «ps aux» - это параметры BSD, доступные только как функция совместимости, в то время как «ps -ef» - ​​это стандартизированные параметры Unix / POSIX.
Самуэль Ослунд
2

У меня такая же проблема. Просто введите команду, и screen -dmS testscreenэто создаст отдельный экран в вашей учетной записи пользователя, не являющегося пользователем sudo, а затем вы можете войти в него и проверить, есть ли этот экран там screen -ls.

liime
источник