Eu tenho algumas regras sudo configuradas para muitos servidores (virtuais) (principalmente debian) para serem usados por scripts zabbix:
zabbix ALL=NOPASSWD: /etc/init.d/exim4 restart
O arquivo de configuração do zabbix-agent e do sudo ( /etc/sudoers.d/zabbix-agent) é distribuído via ansible e é o mesmo para todos os servidores.
Porém, em alguns servidores, o sudo pede uma senha. Em outros, isso não acontece. É a mesma coisa se eu executar o comando usando o zabbix ou localmente:
# sudo -u zabbix sudo /etc/init.d/exim4 restart
Às vezes funciona e às vezes pede a senha.
Eu investiguei isso e a resposta óbvia de que existe uma regra diferente para o usuário zabbix na configuração do sudo não é verdadeira.
Que outros fatores poderiam fazer com que o sistema solicitasse uma senha?
Responder1
Ok, havia duas fontes de erro:
- O
sudoers.ddiretório não foi incluído no/etc/sudoers. Na maioria dos sistemas modernos este é o padrão e, portanto, apenas descartar o arquivo funciona, mas havia alguns sistemas antigos que foram originalmente instalados com Debian Lenny e mantiveram o antigo arquivo sudoers. - Nenhum exim foi instalado, então
/etc/init.d/exim4era inexistente. Agora, de certa forma, isso também é um erro do usuário, mas também érelatório de erros muito ruimpara sudo. Entendo que relatar a tentativa de execução de alguns arquivos pode resultar em vazamento de informações (há, no entanto, uma regra explícita para esse executável na configuração do sudo, então não tenho certeza se esse é um motivo válido), mas o sistema faz relate o erro se eu fornecer uma senha correta.