Entendo que a requiretty
opção não permite sudo em PTYs.
Minhas VMs sudoers
:
#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults env_reset
Defaults mail_badpass
Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin"
Defaults passwd_tries=3
Defaults badpass_message="WRONG PASSWORD T_T"
Defaults log_input, log_output, iolog_dir="/var/log/sudo"
Defaults requiretty
# Host alias specification
# User alias specification
# Cmnd alias specification
# User privilege specification
root ALL=(ALL:ALL) ALL
# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL
# See sudoers(5) for more information on "#include" directives:
#includedir /etc/sudoers.d`
Depois de conectar-se a este sistema com SSH, o tty
programa gera /dev/pts/0
.
Mas ainda posso sudo com uma senha na sessão SSH. Esta requiretty
opção não tem nada a ver com SSH ou PTYs? Como posso sudo na minha sessão SSH?
Responder1
Seu entendimento não está correto: um pseudo-TTY é considerado totalmente equivalente a um TTY "real".
Quando tty
impresso /dev/pts/0
significa que a sessão possui um TTY válido.
Mas se você se conectar à VM com configurações padrão de SSH e especificar o comando a ser executado, a situação será diferente:
$ ssh VM-user@VM-hostname "hostname; tty"
VM-hostname
not a tty
equeé a situação rejeitada pela opção sudo
de requiretty
.
O requisito de um TTY permite que o SSH rejeite tentativas de canalizar a resposta ao prompt de senha por meio de entrada padrão, como muitos outros programas Unix fazem ao solicitar uma senha.
Também permite que você faça coisas como esta:
sudo -u some-user data_producing_command 2> error-log-file | data_consuming_command
sem que o prompt de senha não seja misturado aos dados canalizados data_consuming_command
nem ao error-log-file
. (Observe que data_consuming_command
aqui é executado como você mesmo, não como some-user
!)
Em outras palavras, com requiretty
set, você não pode usar sudo
em contextos como:
- comandos remotos via SSH, a menos que você force a alocação de TTY, ou seja,
ssh VM-user@VM-host sudo something
falharia, masssh -tt VM-user@VM-host sudo something
teria sucesso. - comandos crontab ou scripts executados via crontab
at
oubatch
comandos - scripts executados via
nohup
- scripts executados por meio de
cgi-bin
ou qualquer outro processo daemonizado que não tenha relação com sessões de usuário
Quando requiretty
está definido e sudo
solicita uma senha, ele faz isso de uma maneira que é aproximadamente semelhante em conceito a este trecho de script:
printf "[sudo] password for $USER: " > /dev/tty # display prompt
TTYSETTINGS=$(stty -F /dev/tty --save) # save current TTY settings
stty -F /dev/tty -echo -echoe # prevent displaying the password
read PASSWORD < /dev/tty
stty -F /dev/tty $TTYSETTINGS # restore TTY settings
# now check if $PASSWORD is correct...
/dev/tty
é um dispositivo "mágico" que sempre atuará como um alias do dispositivo TTY real da sessão, se a sessão tiver um TTY. Ele existe precisamente para coisas como esta: permitir que qualquer script ou programa "escape" da tubulação ou outro redirecionamento de entrada/saída e interaja diretamente com o usuário quando necessário.
Se requiretty
estiver definido e /dev/tty
não for utilizável (ou seja, quando o processo não tiver nenhum TTY real associado a ele), será tratado da mesma forma que uma falha de autenticação de senha.