Como posso manter todos os vars de ambiente para um comando específico no sudo?

Question 1

Depois de testar a primeira resposta e ainda obter sudo: sorry, you are not allowed to preserve the environment, decidi procurar uma solução melhor.

Depois de alguns testes, descobri que a opção que importa é setenv.

Defaults!/bin/build.sh setenv

Para torná-lo um pouco mais seguro, podemos adicionar algumas configurações:

Defaults    secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/X11/bin"
Defaults!/bin/build.sh setenv,env_reset,env_delete+=PATH,env_delete+=LD_PRELOAD,env_delete+=LD_LIBRARY_PATH,env_delete+=SSH_AUTH_SOCK,env_delete+=PYTHONPATH,env_delete+=PERL5LIB
%deploy  ALL=(ALL) NOPASSWD: /bin/build.sh *

Answer

Depois de testar a primeira resposta e ainda obter sudo: sorry, you are not allowed to preserve the environment, decidi procurar uma solução melhor.

Depois de alguns testes, descobri que a opção que importa é setenv.

Defaults!/bin/build.sh setenv

Para torná-lo um pouco mais seguro, podemos adicionar algumas configurações:

Defaults    secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/X11/bin"
Defaults!/bin/build.sh setenv,env_reset,env_delete+=PATH,env_delete+=LD_PRELOAD,env_delete+=LD_LIBRARY_PATH,env_delete+=SSH_AUTH_SOCK,env_delete+=PYTHONPATH,env_delete+=PERL5LIB
%deploy  ALL=(ALL) NOPASSWD: /bin/build.sh *

Question 2

Se você quiser permitir que os usuários do deploygrupo executem qualquer comando com praticamente qualquer variável de ambiente:

Defaults:%deploy !env_reset,env_delete-=PYTHONPATH,env_delete-=PERL5LIB
%deploy ALL = (ALL) ALL

Execute sudo -Vpara ver quais variáveis foram excluídas.

Não faz muito sentido restringir o comando se você permitir que o usuário preserve todas as variáveis de ambiente, pois isso provavelmente permitirá que o usuário execute código arbitrário por meio de alguma variável.

Se você revisou cuidadosamente seu script e tem certeza de que possui uma lista completa de variáveis de ambiente que precisam ser removidas, poderá especificar que essas variáveis de ambiente devem ser excluídas e todas as outras devem ser mantidas.

Defaults!/bin/build.sh !env_reset,env_delete+=DANGEROUS_VAR
%deploy ALL = (ALL) /bin/build.sh

Answer

Se você quiser permitir que os usuários do deploygrupo executem qualquer comando com praticamente qualquer variável de ambiente:

Defaults:%deploy !env_reset,env_delete-=PYTHONPATH,env_delete-=PERL5LIB
%deploy ALL = (ALL) ALL

Execute sudo -Vpara ver quais variáveis foram excluídas.

Não faz muito sentido restringir o comando se você permitir que o usuário preserve todas as variáveis de ambiente, pois isso provavelmente permitirá que o usuário execute código arbitrário por meio de alguma variável.

Se você revisou cuidadosamente seu script e tem certeza de que possui uma lista completa de variáveis de ambiente que precisam ser removidas, poderá especificar que essas variáveis de ambiente devem ser excluídas e todas as outras devem ser mantidas.

Defaults!/bin/build.sh !env_reset,env_delete+=DANGEROUS_VAR
%deploy ALL = (ALL) /bin/build.sh

Question 3

Execute sudo visudoe comente as duas linhas mostradas abaixo. Comentar apenas env_resetnão funciona

#Defaults       env_reset
Defaults        mail_badpass
#Defaults       secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:$PATH"

Answer

Execute sudo visudoe comente as duas linhas mostradas abaixo. Comentar apenas env_resetnão funciona

#Defaults       env_reset
Defaults        mail_badpass
#Defaults       secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:$PATH"

Como posso manter todos os vars de ambiente para um comando específico no sudo?

Responder1

Responder2

Responder3

informação relacionada