Ejecutar un script como root cuando un usuario no root inicia sesión

Question 1

pam_exec le indica la dirección correcta, pero setuid es un mal consejo; la mayoría (¿todos?) los Linux modernos lo ignoran en los scripts de shell y solo lo respetan en los archivos ejecutables binarios.

¿Sería un problema si el script se ejecutara (como root) en momentos distintos al inicio de sesión? Si está bien que se ejecute con más frecuencia de lo estrictamente necesario, puede crear un script contenedor que se ejecute en cada inicio de sesión ssh con permisos de usuario que use sudo (sin contraseña) para ejecutar su script como root. Sin embargo, esto significa que los usuarios también podrían ejecutarlo manualmente (como root) tantas veces como quisieran.

Para configurar esto, agregue esta línea a /etc/pam.d/sshd

account optional pam_exec.so /etc/pam.d/LoginWrapper.sh

Luego cree el archivo /etc/pam.d/LoginWrapper.sh con contenido:

#!/bin/bash if [[ $EUID -ne 0 ]]; then # Execute only when a user other than root logs in /usr/bin/sudo /path/to/your/root_script.sh fi

Tenga en cuenta que si su sudo está en una ruta diferente, debe actualizarlo arriba.

Ahora en /etc/sudoers agrega la línea:

ALL ALL=(root) NOPASSWD: /path/to/your/root_script.sh

Answer

pam_exec le indica la dirección correcta, pero setuid es un mal consejo; la mayoría (¿todos?) los Linux modernos lo ignoran en los scripts de shell y solo lo respetan en los archivos ejecutables binarios.

¿Sería un problema si el script se ejecutara (como root) en momentos distintos al inicio de sesión? Si está bien que se ejecute con más frecuencia de lo estrictamente necesario, puede crear un script contenedor que se ejecute en cada inicio de sesión ssh con permisos de usuario que use sudo (sin contraseña) para ejecutar su script como root. Sin embargo, esto significa que los usuarios también podrían ejecutarlo manualmente (como root) tantas veces como quisieran.

Para configurar esto, agregue esta línea a /etc/pam.d/sshd

account optional pam_exec.so /etc/pam.d/LoginWrapper.sh

Luego cree el archivo /etc/pam.d/LoginWrapper.sh con contenido:

#!/bin/bash if [[ $EUID -ne 0 ]]; then # Execute only when a user other than root logs in /usr/bin/sudo /path/to/your/root_script.sh fi

Tenga en cuenta que si su sudo está en una ruta diferente, debe actualizarlo arriba.

Ahora en /etc/sudoers agrega la línea:

ALL ALL=(root) NOPASSWD: /path/to/your/root_script.sh

Question 2

Resolvió esto agregando todos los usuarios a un grupo llamado mygroup

sudo groupadd mygroup
sudo usermod -aG mygroup user1
sudo usermod -aG mygroup user2

Luego modifique /etc/sudoerspara permitir que este grupo se ejecute sudo pkillsin contraseña agregando lo siguiente a sudoers

%mygroup ALL=(ALL) NOPASSWD: /usr/bin/pkill

Luego agregué el comando sudo pkillal final /etc/profiley funcionó de maravilla.

Answer

Resolvió esto agregando todos los usuarios a un grupo llamado mygroup

sudo groupadd mygroup
sudo usermod -aG mygroup user1
sudo usermod -aG mygroup user2

Luego modifique /etc/sudoerspara permitir que este grupo se ejecute sudo pkillsin contraseña agregando lo siguiente a sudoers

%mygroup ALL=(ALL) NOPASSWD: /usr/bin/pkill

Luego agregué el comando sudo pkillal final /etc/profiley funcionó de maravilla.

Ejecutar un script como root cuando un usuario no root inicia sesión

Respuesta1

Respuesta2

información relacionada