Ich habe einige Sudo-Regeln für viele (virtuelle) Server (meistens Debian) eingerichtet, die von Zabbix-Skripten verwendet werden sollen:
zabbix ALL=NOPASSWD: /etc/init.d/exim4 restart
Die Zabbix-Agent- und Sudo-Konfigurationsdatei ( /etc/sudoers.d/zabbix-agent) wird über Ansible verteilt und ist für alle Server gleich.
Auf manchen Servern verlangt sudo jedoch ein Passwort. Auf anderen nicht. Es ist das Gleiche, ob ich den Befehl mit Zabbix oder lokal ausführe:
# sudo -u zabbix sudo /etc/init.d/exim4 restart
Manchmal funktioniert es und manchmal fragt es nach dem Passwort.
Ich habe es mir angesehen und die naheliegende Antwort, dass in der Sudo-Konfiguration eine andere Regel für den Zabbix-Benutzer gilt, ist nicht wahr.
Welche anderen Faktoren könnten dazu führen, dass das System trotzdem nach einem Passwort fragt?
Antwort1
Ok, es gab zwei Fehlerquellen:
- Das
sudoers.dVerzeichnis war nicht in enthalten/etc/sudoers. Auf den meisten modernen Systemen ist dies die Standardeinstellung, sodass das Löschen der Datei funktioniert. Es gab jedoch einige alte Systeme, die ursprünglich mit Debian Lenny installiert wurden und die alte sudoers-Datei beibehalten haben. - Es wurde kein Exim installiert, also
/etc/init.d/exim4war es nicht vorhanden. Nun ist dies in gewisser Weise auch ein Benutzerfehler, aber es ist auchsehr beschissene Fehlerberichterstattungfür sudo. Ich verstehe, dass die Meldung des Versuchs, einige Dateien auszuführen, zu einem Informationsleck führen kann (es gibt jedoch eine explizite Regel für diese ausführbare Datei in der Sudo-Konfiguration, daher bin ich mir nicht sicher, ob das ein gültiger Grund ist), aber das System meldet den Fehler, wenn ich ein korrektes Passwort eingebe.