Jak sprawdzić, czy upłynął limit czasu mojego uprawnienia sudoer?


20

Pracuję nad skryptem, który uruchamia polecenie jako sudo i wyświetla wiersz tekstu TYLKO, jeśli upłynęły limity czasu moich uprawnień sudo, więc tylko wtedy, gdy uruchomienie polecenia z sudo wymagałoby od mojego użytkownika (nie roota) ponownego wpisania hasła.

Jak to zweryfikować? Pamiętaj, że $(id -u)nawet podczas działania jako sudo zwróci mój bieżący identyfikator użytkownika, aby nie można było sprawdzić, czy pasuje do 0 ...

Potrzebuję metody, która sprawdziłaby to po cichu.

Odpowiedzi:


28

Użyj tej opcji, -naby sprawdzić, czy nadal masz uprawnienia; z man sudo:

-n , - nieinteraktywny

Unikaj monitowania użytkownika o dane wejściowe dowolnego rodzaju. Jeśli do uruchomienia polecenia wymagane jest hasło, sudo wyświetli komunikat o błędzie i zakończy działanie.

Na przykład,

sudo -n true 2>/dev/null && echo Privileges active || echo Privileges inactive

Należy pamiętać, że uprawnienia mogą wygasnąć między sprawdzeniem sudo -n truei faktycznym ich użyciem. Możesz spróbować bezpośrednio z komunikatem, sudo -n command...aw przypadku awarii wyświetlić komunikat i spróbować ponownie uruchomić sudointeraktywnie.

Edycja: Zobacz także komentarz ruakh poniżej.


Dziękuję, próbowałem już czegoś podobnego, ale po prostu nie mogłem tego zrobić tak, jak chciałem.
TonyMorello,

3
Odp: „Pamiętaj, że wygaśnięcie uprawnień między sprawdzaniem sudo -n truei faktycznym ich użyciem”: Dokumentacja jest nieco niejasna w tym punkcie, ale myślę, że uruchomienie sudopolecenia, nawet po prostu sudo -n true, ponownie ustawi limit czasu zegar. Tak czy inaczej, -vjest to wyraźnie udokumentowane i sudo -n -vprawdopodobnie jest bardziej odpowiednie niż sudo -n truedo tego celu.
ruakh

O ile będzie to rzeczywiście milczy, będzie to błąd logowania do dziennika systemu, jeśli nie istnieją żadne przywileje: hostname sudo[8870]: username : a password is required ; TTY=pts/0 ; PWD=/home/username ; USER=root ; COMMAND=/usr/bin/true. Jeśli użyjesz go np. W monicie bash, spowoduje to pojawienie się wielu komunikatów o błędach.
Rogach,

A jeśli istnieją uprawnienia, nastąpi rejestrowanie debugowania z wykonania komend pam_unix i sudo.
Rogach,

8

Biegać:

sudo -nv

Jeśli twoje uprawnienia sudo wygasły, nastąpi koniec z kodem wyjścia 1 i wyjście:

sudo: a password is required

Jeśli masz poprawne poświadczenia zapisane w pamięci podręcznej, to polecenie się powiedzie i nic nie wyświetli.

Podsumowując, oto skryptlet, który po cichu sprawdzi, czy masz poprawne poświadczenia w pamięci podręcznej:

if sudo -nv 2>/dev/null; then
  echo "no sudo password required"
else
  echo "sudo password expired"
fi

Jak wspomniano w innych odpowiedziach / komentarzach, -vopcja („sprawdzanie poprawności”) sudo po cichu odnawia buforowane poświadczenia, jeśli istnieją jakieś monity o uwierzytelnienie w celu wygenerowania buforowanych poświadczeń, a -nopcja („nieinteraktywna”) zapobiega generowaniu sudo wszelkie interaktywne monity, takie jak monit o uwierzytelnienie.


To dobre rozwiązanie ... Próbowałem już wcześniej, ale odpowiedź AlexP robi dokładnie to, czego potrzebowałem ... Myślę, że wcześniej źle zrozumiałem parametr -n
TonyMorello,

1

sudo -nvdziała dobrze, ale zanieczyszcza logi systemowe błędami sudo i informacjami uwierzytelniającymi pam. Musiałem sprawdzić uprawnienia sudo pod kątem mojego polecenia bash, więc było ono wykonywane dość często, a moje logi składały się prawie wyłącznie z tego hałasu.

Możliwe jest bezpośrednie parsowanie pliku znacznika czasu sudo - napisałem dla niego małe C:

/* compile and set permissions: */
/* $ gcc checksudo.c -o checksudo -std=gnu99 -O2 */
/* $ chown root:root checksudo */
/* $ chmod +s checksudo */

#define USERNAME "replace-with-your-username"
#define TIMEOUT 5

#include <sys/types.h>
#include <sys/stat.h>
#include <unistd.h>
#include <stdio.h>
#include <errno.h>
#include <string.h>
#include <time.h>

void timespec_diff(struct timespec *start, struct timespec *stop, struct timespec *result) {
    if ((stop->tv_nsec - start->tv_nsec) < 0) {
        result->tv_sec = stop->tv_sec - start->tv_sec - 1;
        result->tv_nsec = stop->tv_nsec - start->tv_nsec + 1000000000;
    } else {
        result->tv_sec = stop->tv_sec - start->tv_sec;
        result->tv_nsec = stop->tv_nsec - start->tv_nsec;
    }
    return;
}

int main(int argc, char** argv) {
  if (geteuid() != 0) {
    printf("uid is not 0 - checksudo must be owned by uid 0 and have the setuid bit set\n");
    return 2;
  }

  struct timespec current_time;
  if (clock_gettime(CLOCK_BOOTTIME, &current_time) != 0) {
    printf("Unable to get current time: %s\n", strerror(errno));
    return 2;
  }

  struct stat ttypath_stat;
  if (stat(ttyname(0), &ttypath_stat) != 0) {
    printf("Unable to stat current tty: %s\n", strerror(errno));
    return 2;
  }

  FILE* timestamp_fd = fopen("/var/run/sudo/ts/" USERNAME, "rb");
  if (timestamp_fd == NULL) {
    printf("Unable to open sudo timestamp file: %s\n", strerror(errno));
    return 2;
  }

  long offset = 0;
  int found = 0;

  while (1) {
    if (fseek(timestamp_fd, offset, SEEK_SET) != 0) {
      printf("Failed to seek timestamp file: %s\n", strerror(errno));
      return 2;
    }
    unsigned short timestamp_entry_header[4];
    if (feof(timestamp_fd)) {
      printf("matching timestamp not found\n");
      return 2;
    }
    if (fread(&timestamp_entry_header, sizeof(unsigned short), 4, timestamp_fd) < 4) {
      break;
    }
    if (ferror(timestamp_fd)) {
      printf("IO error when reading timestamp file\n");
      return 2;
    }

    // read tty device id
    if (timestamp_entry_header[2] == 2 && timestamp_entry_header[3] == 0) {
      if (fseek(timestamp_fd, offset + 32, SEEK_SET) != 0) {
        printf("Failed to seek timestamp file: %s\n", strerror(errno));
        return 2;
      }
      dev_t tty_dev_id;
      if (fread(&tty_dev_id, sizeof(dev_t), 1, timestamp_fd) < 1) {
        printf("EOF when reading tty device id\n");
        return 2;
      }
      if (tty_dev_id == ttypath_stat.st_rdev) {
        // read timestamp
        if (fseek(timestamp_fd, offset + 16, SEEK_SET) != 0) {
          printf("Failed to seek timestamp file: %s\n", strerror(errno));
          return 2;
        }
        struct timespec sudo_time;
        if (fread(&sudo_time, sizeof(struct timespec), 1, timestamp_fd) < 1) {
          printf("EOF when reading timestamp\n");
          return 2;
        }

        struct timespec time_since_sudo;
        timespec_diff(&sudo_time, &current_time, &time_since_sudo);
        found = time_since_sudo.tv_sec < TIMEOUT * 60;
        break;
      }
    }

    offset += timestamp_entry_header[1];
  }

  fclose(timestamp_fd);

  return !found;
}
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.