sudo i script utan att ange lösen

du kan ju också speca i sudo-confen vad som ska få köras som root utan att behöva ange lösenord

Saxat ur en burk med OpenBSD, men det är ju samma tjabbel så..

--CUT--
# Uncomment to allow people in group wheel to run all commands
%wheel ALL=(ALL) ALL

# Same thing without a password
# %wheel ALL=(ALL) NOPASSWD: ALL
--CUT--

johans ALL = NOPASSWD:/usr/local/bin/ethereal

Låter användaren johans exekvera kommandot ovan utan lösenord.
edit: raden är hämtad ur /etc/sudoers

Kan hända.. tänkte bara att de kan va dumt att ha rootpass i klartext i en fil

Om vi låter det här scriptet motsvara ett backupscript eller liknande:

#!/bin/sh

echo $1 | sudo -l

while true; do done

while-slingan får motsvara allt jobb som ska göras i scriptet.

Jag kör scriptet med:

./foobar losenord

Om jag nu kör en enkel 'ps ax | grep foobar' får jag nu upp följande:

23525 p3  I+      0:00.01 /bin/sh ./foobar losenord

Om du tycker det här är säkert har jag inget mer att säga.

Att ha lösenordet i klartext i ett script tycker jag inte heller är särskilt snyggt. Då skapar jag hellre en specifik användare, som får köra ett specifikt kommando utan lösenord genom sudo. Men nu börjar vi närma oss paranoid-SM här. Allt handlar ju om avvägningar.

Alternativt kan man sätta set-user på scriptet, iaf om det är ett tcsh-script så kommer det köras som ägaren av filen (bash verkar annorlunda).

men då måste du likväl skriva in lösen när scriptet körs, eller?

Håller med, verkar dumt att ha lösen sparat eller skrivet vid kommandot.. Vad är problemet med att redigera /etc/sudoers så att den tillåter precis det du behöver?

Problemet med Wire's sätt är att det alltid går att få tag på lösenordet genom en enkel ps-listning på datorn i fråga. Säkrast är att tillåta root-rättigheter med sudo utan lösenord, men kanske bara för just det scriptet.

Det går ju att specifiera precis vilka program som ska få exekveras, av precis vilken användare, som johanf beskrev.

Är det? Vad är det som är osäkert jämfört med din lösning?

Är detta något som ska köras manuellt? Annars kan du ju t ex låta cron köra det som root istället. Annars tycker jag du ska lägga till ett entry i din sudoers-fil, inte ha ditt su-password liggande i klartext på burken.

/Kalle

<användarnamn>    ALL=NOPASSWD: /path/till/scriptet

Helt otestat, möjligt att det funkar, YMMV.

Varför inte...

#!/bin/sh

read -s PASSWD

echo $PASSWD | sudo

#!/bin/sh

read -s PASSWD

echo $PASSWD | sudo

Då är det bättre att låta sudo fråga själv efter lösenordet..

Nja, inte om du ska trigga det på många maskiner.
Tex:

#!/bin/sh

read -s PASSWD

ssh maskin1 'echo $PASSWD | sudo whatever'
ssh maskin2 'echo $PASSWD | sudo whatever'