Làm cách nào để chỉnh sửa/etc/sudoers từ tập lệnh?

Question

Tôi cần chỉnh sửa/etc/sudoers từ tập lệnh để thêm/xóa nội dung khỏi danh sách trắng.

Giả sử tôi có lệnh sẽ hoạt động trên một tệp thông thường, làm cách nào để áp dụng nó cho .etc/sudoers?

Tôi có thể sao chép và sửa đổi nó, sau đó có visudo thay thế bản gốc bằng bản sao đã sửa đổi không? Bằng cách cung cấp tập lệnh của riêng tôi trong EDITOR?

Hoặc tôi có thể sử dụng cùng một khóa và cp không?

Câu hỏi đặt ra nhiều hơn về các vấn đề tiềm ẩn hơn là chỉ tìm một thứ gì đó hoạt động.

Answer 1

Bạn nên thực hiện chỉnh sửa của bạn vào một tập tin tạm thời, sau đó sử dụng visudo -c -f sudoers.temp để xác nhận rằng những thay đổi có hiệu lực và sau đó sao chép nó trên đầu/etc/sudoers

#!/bin/sh 
if [ -f "/etc/sudoers.tmp" ]; then 
    exit 1 
fi 
touch /etc/sudoers.tmp 
edit_sudoers /tmp/sudoers.new 
visudo -c -f /tmp/sudoers.new 
if [ "$?" -eq "0" ]; then 
    cp /tmp/sudoers.new /etc/sudoers 
fi 
rm /etc/sudoers.tmp 

Answer 2

visudo được cho là giao diện người dùng để chỉnh sửa /etc/sudoers. Bạn có thể đạt được điều tương tự bằng cách thay thế tệp trực tiếp, nhưng bạn phải tự chăm sóc về việc chỉnh sửa đồng thời và xác thực cú pháp. Hãy chú ý đến các điều khoản r--r-----.

Answer 3

Thiết lập trình chỉnh sửa tùy chỉnh. Về cơ bản nó sẽ là một kịch bản chấp nhận tên tập tin (trong trường hợp này là /etc/sudoers.tmp), và sửa đổi và lưu nó tại chỗ. Vì vậy, bạn chỉ có thể ghi ra tập tin đó. Khi bạn hoàn thành, thoát khỏi tập lệnh và visudo sẽ xử lý việc sửa đổi tệp sudoers thực tế cho bạn.

sudo EDITOR=/path/to/my_dummy_editor.sh visudo 

Answer 4

Sử dụng visudo cho điều này với trình chỉnh sửa tùy chỉnh. Điều này giải quyết tất cả các điều kiện chủng tộc và "hack" vấn đề với giải pháp của Brian.

#!/bin/sh 
if [ -z "$1" ]; then 
    echo "Starting up visudo with this script as first parameter" 
    export EDITOR=$0 && sudo -E visudo 
else 
    echo "Changing sudoers" 
    echo "# Dummy change to sudoers" >> $1 
fi 

Tập lệnh này sẽ thêm dòng "# Dummy change to sudoers" vào cuối sudoers. Không có hack và không có điều kiện chủng tộc.

phiên bản chú thích giải thích cách này thực sự hoạt động:

if [ -z "$1" ]; then 

    # When you run the script, you will run this block since $1 is empty. 

    echo "Starting up visudo with this script as first parameter" 

    # We first set this script as the EDITOR and then starts visudo. 
    # Visudo will now start and use THIS SCRIPT as its editor 
    export EDITOR=$0 && sudo -E visudo 
else 

    # When visudo starts this script, it will provide the name of the sudoers 
    # file as the first parameter and $1 will be non-empty. Because of that, 
    # visudo will run this block. 

    echo "Changing sudoers" 

    # We change the sudoers file and then exit 
    echo "# Dummy change to sudoers" >> $1 
fi 

Answer 5

này làm việc cho tôi dựa trên những gì người khác được đăng ở đây. Khi tôi sử dụng kịch bản người khác nó sẽ mở visudo cho tôi nhưng sẽ không thực hiện chỉnh sửa. Điều này làm cho chỉnh sửa tôi cần thiết để cho phép tất cả người dùng, bao gồm cả người dùng chuẩn, để cài đặt java 7u17 cho safari/firefox.

#!/usr/bin/env bash 
rm /etc/sudoers.new 
cp /etc/sudoers /etc/sudoers.new 
echo "%everyone ALL = NOPASSWD: /usr/sbin/installer -pkg /Volumes/Java 7 Update 17/Java 7 Update 17.pkg -target /" >> /etc/sudoers.new 
cp /etc/sudoers.new /etc/sudoers 

Điều này đã thêm% mọi người blah blah blah vào cuối tệp sudoers. Tôi phải chạy kịch bản như thế này.

sudo sh sudoersedit.sh 

Chúc may mắn: D

Answer 6

Chỉ cần thêm một tùy chọn thêm cho câu trả lời ở trên, nếu các điều kiện chủng tộc không phải là một mối quan tâm lớn, sau đó các lệnh sau đây có thể được sử dụng để tránh tự sao chép một tập tin sửa đổi đến /etc/sudoers

sudo EDITOR="cp /tmp/sudoers.new" visudo 

Điều này sẽ đảm bảo tệp mới được xác thực và cài đặt đúng với cập nhật quyền.

Lưu ý rằng nếu có lỗi trong tệp /tmp/sudoers.new thì visudo sẽ nhắc nhập dữ liệu của người dùng, vì vậy bạn nên kiểm tra trước bằng visudo -c -f /tmp/sudoers.new.

Answer 7

Trên Debian và nó dẫn xuất, bạn có thể chèn tập lệnh tùy chỉnh vào thư mục /etc/sudoers.d/, với quyền 0440 – để biết thêm thông tin, xem /etc/sudoers.d/README.

Nó có thể hữu ích.

Answer 8

Tôi nghĩ rằng giải pháp thẳng nhất về phía trước là:

Tạo một kịch bản addsudoers.sh

#!/bin/bash 

while [[ -n $1 ]]; do 
    echo "$1 ALL=(ALL:ALL) ALL" >> /etc/sudoers; 
    shift # shift all parameters; 
done 

và gọi nó với người dùng mà bạn muốn thêm nó như là:

root prompt> ./addsudoers.sh user1 user2 

Để xem giải thích đầy đủ, hãy xem câu trả lời này: Adding users to sudoers through shell script

Trân trọng!

Answer 9

Cố gắng lặp lại. Tuy nhiên, bạn phải chạy nó trong một subshell. Ví dụ:

sudo sh -c "echo \"group ALL=(user) NOPASSWD: ALL\" >> /etc/sudoers"

Answer 10

Cũ chủ đề, nhưng những gì về:

echo 'foobar ALL=(ALL:ALL) ALL' | sudo EDITOR='tee -a' visudo 

Answer 11

Nếu sudo của bạn cho phép thêm các mục trong /etc/sudoers.d, sau đó bạn có thể sử dụng câu trả lời này bởi @ dragon788:

https://superuser.com/a/1027257/26022

Về cơ bản bạn sử dụng visudo để xác minh tệp trước khi bạn sao chép tệp đó vào sudoers.d, vì vậy bạn có thể chắc chắn bạn không phá vỡ sudo cho bất cứ ai.

visudo -c -q -f filename 

này sẽ kiểm tra nó và trả về thành công (0) nếu nó có giá trị, vì vậy bạn có thể sử dụng nó với if, && và kịch bản hoạt động boolean khác. Khi bạn xác thực, chỉ cần sao chép nó vào /etc/sudoers.d và nó sẽ hoạt động. Hãy chắc chắn rằng nó thuộc sở hữu của người chủ và không thể ghi bởi người khác.