ユーザーがsudoで環境を維持できるようにする方法は?

17

実行時にいくつかの環境変数が新しい環境にパススルーできるようにしようとすると、次のエラーが発生しますsudo

sudo: sorry, you are not allowed to preserve the environment

デバッグに役立つ可能性のある情報:

[deploy@worker1 ~]$ sudo -l
    Matching Defaults entries for deploy on this host:
    requiretty, !visiblepw, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET
    XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin, env_keep+="GIT_WORK_TREE GIT_DIR", !requiretty

User deploy may run the following commands on this host:
    (ALL) NOPASSWD: /usr/bin/git, (ALL) /etc/init.d/httpd*, (ALL) /sbin/service, (ALL) /usr/bin/make, (ALL) /bin/echo

私の実行例:

[deploy@worker1 ~]$ export GIT_DIR="/home/ashinn/testing"
[deploy@worker1 ~]$ sudo -E sh -c 'echo "$GIT_DIR"'
sudo: sorry, you are not allowed to preserve the environment

この特定の構成のための私のsudoers.dファイル:

Defaults:deploy         env_keep += "GIT_WORK_TREE GIT_DIR", !requiretty
deploy  ALL=(ALL)       NOPASSWD: /usr/bin/git, /etc/init.d/httpd*, /sbin/service, /usr/bin/make, /bin/echo

また!env_reset、デフォルトに追加しようとしましたが、同じエラーで失敗します。明らかな何かを見逃している可能性があり、第2の目が必要だと感じています。ここで何が欠けていますか?

sudo  sudoers 
アンディシン
ソース
1
私たちの約93%があなたの質問のポイントを理解していると思いますが、あなたの例のコマンドはあまり良くありません。  、それが完全に失敗しない場合、シェルはコマンドラインで変数を展開するので、呼び出される前に、の前の値を表示します。より良いテストはor またはです。ここでは、特権を実行しているプロセスの環境を実際に調べています。sudo (option(s)) echo $GIT_DIRsudo$GIT_DIRsudosudo printenv GIT_DIRsudo env | grep GIT_DIRsudo sh -c 'echo "$GIT_DIR"'
Gマンは「Reinstate Monica」と言う
Stack Overflowのこの質問も参照してください。
フランクリンゆう

回答:

27

次のようSETENVに、sudoersファイルで「タグ」を使用できます。

deploy  ALL=(ALL)       SETENV: /usr/bin/git, /etc/init.d/httpd*, /sbin/service, /usr/bin/make, /bin/echo

または、NOPASSWDと組み合わせるには:

deploy  ALL=(ALL)       NOPASSWD:SETENV: /usr/bin/git, /etc/init.d/httpd*, /sbin/service, /usr/bin/make, /bin/echo

sudoersの男性からの関連する抜粋:

SETENVおよびNOSETENV

これらのタグは、コマンドごとにsetenvオプションの値をオーバーライドします。コマンドにSETENVが設定されている場合、ユーザーは-Eオプションを使用してコマンドラインからenv_resetオプションを無効にできることに注意してください。また、コマンドラインで設定した環境変数は、によって課される制限の対象とはならないenv_checkenv_deleteまたはenv_keep。そのため、この方法で変数を設定できるのは、信頼できるユーザーのみです。一致したコマンドがALLの場合、そのコマンドにはSETENVタグが暗黙的に含まれます。このデフォルトは、NOSETENVタグを使用してオーバーライドできます。

iodbh
ソース
1

-Eオプションを指定しないでください。-Eあなたが使用しているのは、ユーザーのすべての環境変数をdeploy保存するだけでなく、GIT_DIR

リストにsudo echo $GIT_DIR追加GIT_DIRしたので、実行する必要がありenv_keepます

スティアンS
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.