Comment permettre à l'utilisateur de préserver l'environnement avec sudo?

17

Je rencontre l'erreur suivante en essayant de permettre à certaines variables d'environnement de passer au nouvel environnement lors de l'exécution sudo:

sudo: sorry, you are not allowed to preserve the environment

Quelques informations qui peuvent être utiles pour déboguer:

[deploy@worker1 ~]$ sudo -l
    Matching Defaults entries for deploy on this host:
    requiretty, !visiblepw, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET
    XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin, env_keep+="GIT_WORK_TREE GIT_DIR", !requiretty

User deploy may run the following commands on this host:
    (ALL) NOPASSWD: /usr/bin/git, (ALL) /etc/init.d/httpd*, (ALL) /sbin/service, (ALL) /usr/bin/make, (ALL) /bin/echo

Mon exemple de course:

[deploy@worker1 ~]$ export GIT_DIR="/home/ashinn/testing"
[deploy@worker1 ~]$ sudo -E sh -c 'echo "$GIT_DIR"'
sudo: sorry, you are not allowed to preserve the environment

Mon fichier sudoers.d pour cette configuration spécifique:

Defaults:deploy         env_keep += "GIT_WORK_TREE GIT_DIR", !requiretty
deploy  ALL=(ALL)       NOPASSWD: /usr/bin/git, /etc/init.d/httpd*, /sbin/service, /usr/bin/make, /bin/echo

J'ai également essayé d'ajouter !env_resetaux valeurs par défaut et il échoue toujours avec la même erreur. J'ai l'impression de manquer quelque chose d'évident et j'ai besoin d'un deuxième regard. Qu'est-ce que j'oublie ici?

Andy Shinn
la source
1
Je crois qu'environ 93% d'entre nous comprennent le point de votre question, mais votre exemple de commande n'est pas très bon.  , s'il n'échoue pas, affichera la pré- valeur de , car le shell développe la variable dans la ligne de commande avant même d'être invoqué. De meilleurs tests sont ou ou , où nous examinons réellement l'environnement du processus en cours d'exécution privilégié. sudo (option(s)) echo $GIT_DIRsudo$GIT_DIRsudosudo printenv GIT_DIRsudo env | grep GIT_DIRsudo sh -c 'echo "$GIT_DIR"'
G-Man dit `` Réintègre Monica ''
Voir aussi cette question sur Stack Overflow .
Franklin Yu

Réponses:

27

Vous pouvez utiliser le SETENV"Tag" dans votre sudoersfichier, comme dans:

deploy  ALL=(ALL)       SETENV: /usr/bin/git, /etc/init.d/httpd*, /sbin/service, /usr/bin/make, /bin/echo

Ou, pour le combiner avec NOPASSWD:

deploy  ALL=(ALL)       NOPASSWD:SETENV: /usr/bin/git, /etc/init.d/httpd*, /sbin/service, /usr/bin/make, /bin/echo

Extrait pertinent de l'homme sudoers:

SETENV et NOSETENV

Ces balises remplacent la valeur de l'option setenv pour chaque commande. Notez que si SETENV a été défini pour une commande, l'utilisateur peut désactiver l'option env_reset à partir de la ligne de commande via l'option -E. De plus, les variables d'environnement définies sur la ligne de commande ne sont pas soumis aux restrictions imposées par env_check, env_deleteou env_keep. En tant que tel, seuls les utilisateurs de confiance devraient être autorisés à définir des variables de cette manière. Si la commande correspondante est ALL, la balise SETENV est implicite pour cette commande; cette valeur par défaut peut être remplacée par l'utilisation de la balise NOSETENV.

iodbh
la source
1

Ne spécifiez pas l' -Eoption. En utilisant -Evous dites que toutes les variables d'environnement pour l'utilisateur deploydoivent être préservées, pas seulementGIT_DIR

La course sudo echo $GIT_DIRdevrait fonctionner car vous avez ajouté GIT_DIRà la env_keepliste

Stian S
la source