¿Cómo ejecutar un programa específico como root sin una solicitud de contraseña?

Necesito ejecutar algo como sudo sin contraseña, así que usé visudoy agregué esto a mi sudoersarchivo:

MYUSERNAME ALL = NOPASSWD: /path/to/my/program

Luego lo probé:

$ sudo /path/to/my/program
[sudo] password for MYUSERNAME: 

¿Por qué pide una contraseña? ¿Cómo puedo ejecutar / usar comandos como root con un usuario no root, sin pedir una contraseña?

Tiene otra entrada en el sudoersarchivo que también coincide con su usuario. La NOPASSWDregla debe ser posterior a esa para que tenga prioridad.

Una vez hecho esto, sudosolicitará una contraseña normalmente para todos los comandos excepto /path/to/my/program, que siempre le permitirá ejecutar sin solicitar su contraseña.

Si hay varias entradas coincidentes /etc/sudoers, sudo usa la última. Por lo tanto, si puede ejecutar cualquier comando con una solicitud de contraseña, y desea poder ejecutar un comando en particular sin una solicitud de contraseña, necesitará la excepción al final.

myusername ALL = (ALL) ALL
myusername ALL = (root) NOPASSWD: /path/to/my/program

Tenga en cuenta el uso de (root), para permitir que el programa se ejecute como root pero no como otros usuarios. (No otorgue más permisos que el mínimo requerido a menos que haya pensado en las implicaciones).

Nota para los lectores que no ejecutan Ubuntu o que han cambiado la configuración de sudo predeterminada (el sudo de Ubuntu está bien de forma predeterminada) : ejecutar scripts de shell con privilegios elevados es arriesgado, debe comenzar desde un entorno limpio (una vez que el shell ha comenzado, es demasiado tarde (consulte Permitir setuid en los scripts de shell ), por lo que necesita sudo para encargarse de eso). Asegúrese de que usted tiene Defaults env_reseten /etc/sudoerso que esta opción es el valor predeterminado de tiempo de compilación ( sudo sudo -V | grep envdebe incluir Reset the environment to a default set of variables).

ADVERTENCIA : esta respuesta se ha considerado insegura. Ver comentarios a continuación

Solución completa: los siguientes pasos lo ayudarán a lograr el resultado deseado:

1. Cree un nuevo archivo de script (reemplace create_dir.shcon el nombre de script deseado):

   vim ~/create_dir.sh
   

   El script se creará en el directorio de inicio del usuario.

2. Añadir algunos comandos que sólo una rooto sudousuario puede ejecutar como crear una carpeta en el nivel de directorio raíz:

   mkdir /abc
   

   Nota: No agregue sudoa estos comandos. Guardar y salir (usando :wq!)

3. Asignarle permisos de ejecución usando:

   sudo chmod u+x create_dir.sh
   

4. Realice cambios para que este script no requiera una contraseña.

   1. Abre el sudoersarchivo:

      sudo visudo -f /etc/sudoers
      

   2. Agregue la siguiente línea al final:

      ahmad ALL=(root) NOPASSWD: /home/ahmad/create_dir.sh
      

      Reemplace ahmadcon su nombre de usuario. También asegúrese de que esta sea la última línea. Guardar y Salir.

5. Ahora, cuando ejecute el comando, agregue sudoantes:

   sudo ./create_dir.sh
   

   Esto ejecutará los comandos dentro del archivo de script sin pedir una contraseña.

Siga los sencillos pasos mencionados aquí http://step4wd.com/2013/09/14/run-root-commands-in-linux-ubuntu-without-password/

Creo que tu sintaxis está mal. Al menos uso lo siguiente que me funciona:

myusername ALL=(ALL) NOPASSWD: /path/to/executable

Si desea evitar tener que usar sudo ni cambiar el archivo de configuración de sudoers, puede usar:

sudo chown root:root path/to/command/COMMAND_NAME
sudo chmod 4775 path/to/command/COMMAND_NAME

Esto hará que el comando se ejecute como root sin la necesidad de sudo.

Si tiene una distribución como Manjaro, primero debe tratar con un archivo que anula la definición de / etc / sudoers, puede eliminarlo o trabajar directamente con ese archivo para agregar sus nuevas configuraciones.

Este archivo es:

sudo cat /etc/sudoers.d/10-installer

La ÚNICA forma de verlo está bajo privilegios de root, no puede enumerar este directorio sin él, este archivo es específico de Manjaro, puede encontrar esta configuración con otro nombre, pero en el mismo directorio.

En el archivo que elija, puede agregar las siguientes líneas para obtener las configuraciones deseadas:

Ignorar la autenticación para un grupo

%group ALL=(ALL) NOPASSWD: ALL

o Ignorar la autenticación de un usuario

youruser ALL=(ALL) NOPASSWD: ALL

o Ignorar la autenticación de un ejecutable para un usuario específico

youruser ALL=(ALL) NOPASSWD: /path/to/executable

NOTA RÁPIDA: está abriendo una puerta para usar SUDO sin autenticación, eso significa que puede ejecutar todo modificando todo desde su sistema, úselo con responsabilidad.

Verifique que sudo no tenga alias. Corre asi

/usr/bin/sudo /path/to/my/program

Por ejemplo, un alias de shell como este:

alias sudo="sudo env PATH=$PATH"

puede causar este comportamiento.

Cuando ejecutas tu script necesitas ejecutarlo como sudo /path/to/my/script.

Editar: según su comentario a otra respuesta, desea ejecutar esto desde un icono. Deberá crear un .desktoparchivo que ejecute su programa con sudo, al igual que en el terminal.

También podría considerar usar gtk-sudouna solicitud visual de contraseña.

Probablemente debería considerar la idea de que no debería ejecutar las cosas como root y que cambiar el sistema más adelante para que no necesite permisos de root sea una mejor manera de hacerlo.

Esto resolvió el problema para mí (también probé algunas de las otras respuestas, que podrían haber ayudado):

El script al que estaba llamando estaba en /usr/binun directorio para el que no tengo permisos de escritura (aunque generalmente puedo leer cualquier archivo allí). El script tenía chmodded + x (permiso ejecutable), pero aún no funcionaba. Moviendo este archivo a una ruta en mi directorio de inicio, en lugar de /usr/bin, finalmente pude llamarlo con sudo sin ingresar una contraseña.

También algo que dudé (aclarando para futuros lectores): debe ejecutar su script como sudo. Escriba sudocuando llame al script. No lo use sudopara el comando dentro de su script que realmente necesita root (cambiar la luz de fondo del teclado en mi caso). Quizás eso también funcione, pero no es necesario, y parece una mejor solución para no hacerlo.

Otra posibilidad podría ser instalar, configurar y luego usar el supercomando para ejecutar su script como

super /path/to/your/script

Si desea ejecutar alguna binario ejecutable (por ejemplo, que ha compilado en ELF binario a partir de un cierto código fuente de C), lo cual es no un Script como root, es posible considerar la posibilidad de que setuid (y, de hecho /bin/login, /usr/bin/sudoy /bin/su, y supertodos están usando esa técnica ) Sin embargo, tenga mucho cuidado, podría abrir un gran agujero de seguridad .

Concretamente, su programa debe estar codificado paranoicamente (así que verifique todos los argumentos y el entorno y las condiciones externas antes de "actuar", suponiendo que sea un usuario potencialmente hostil), entonces puede usar seteuid (2) y amigos (ver también setreuid (2) ) cuidadosamente (ver también capacidades (7) y credenciales (7) y execve (2) ...)

Utilizará chmod u+s(lea chmod (1) ) cuando instale dicho binario.

Pero ten mucho cuidado .

Lea muchas cosas sobre setuid , incluida la Programación avanzada de Linux , antes de codificar tal cosa.

Tenga en cuenta que un script, o cualquier cosa de shebang , no se puede configurar. Pero podría codificar (en C) un pequeño setuid-binario envolviéndolo.

Idealmente, si está personalizando qué comandos se pueden ejecutar sudo, debería realizar estos cambios en un archivo separado en /etc/sudoers.d/lugar de editar el sudoersarchivo directamente. También debe usar siempre visudopara editar los archivos. NUNCA debe otorgar NOPASSWDlos ALLcomandos.

Ejemplo: sudo visudo -f /etc/sudoers.d/mynotriskycommand

Inserte su línea otorgando permiso: myuser ALL= NOPASSWD: /path/to/your/program

Luego guarde y salga y visudole avisará si tiene algún error de sintaxis.

Puede ejecutar sudo -lpara ver los permisos que se le han otorgado a su usuario, si alguno de los NOPASSWDcomandos específicos del usuario aparece ANTES de cualquier %groupyouarein ALL=(ALL) ALLcomando en la salida, se le solicitará su contraseña.

Si se encuentra creando muchos de estos archivos sudoers.d, entonces tal vez desee crearlos nombrados por usuario para que sean más fáciles de visualizar. Tenga en cuenta que el orden de los NOMBRES DE ARCHIVO y de las REGLAS dentro del archivo es muy importante, el ÚLTIMO cargado gana, ya sea MÁS o MENOS permisivo que las entradas anteriores.

Puede controlar el orden de los nombres de archivo utilizando un prefijo de 00-99 o aa / bb / cc, aunque también tenga en cuenta que si tiene CUALQUIER archivo que no tenga un prefijo numérico, se cargará después de los archivos numerados, anulando la configuración. Esto se debe a que, según la configuración de su idioma, la "clasificación léxica" que utiliza el shell clasifica primero los números y luego puede intercalar mayúsculas y minúsculas al ordenar en orden "ascendente".

Intente ejecutar printf '%s\n' {{0..99},{A-Z},{a-z}} | sorty printf '%s\n' {{0..99},{A-Z},{a-z}} | LANG=C sortver si su idioma actual se imprime, AaBbCcetc. o ABCluego abcpara determinar cuál sería el mejor "último" prefijo de letra para usar.

Para permitir que cualquier usuario ejecute el programa como sudo sin pedir contraseña, puede agregar la siguiente línea

%sudo ALL=(root) NOPASSWD: /path/to/your/program

en /etc/sudoers

Tenga en cuenta que % sudo lo hace.

Lo siguiente es para el caso en el que desea ejecutar un comando sin contraseña solo si tiene un conjunto específico de opciones, donde una parte de las opciones es variable . AFAIK no es posible usar variables o rangos de valores en las declaraciones de sudoers, es decir, puede permitir el acceso explícito a, command option1pero no command option2usar:

user_name ALL=(root) /usr/bin/command option1

pero si la estructura es command option1 value1, donde value1puede variar, necesitaría tener líneas sudoers explícitas para cada valor posible de value1. El script de Shell proporciona una forma de evitarlo.

Esta respuesta fue inspirada por la respuesta de M. Ahmad Zafar y soluciona el problema de seguridad allí.

1. Cree un script de shell donde llame al comando sin sudo.
2. Guarde el script en una carpeta con privilegios de root (por ejemplo /usr/local/bin/), haga que el archivo sea propiedad de root (por ejemplo chown root:wheel /usr/local/bin/script_name) sin acceso de escritura para otros (por ejemplo chmod 755 /usr/local/bin/script_name).

3. Agregue la excepción a los sudoers usando visudo:

   user_name ALL=(root) NOPASSWD: /usr/local/bin/script_name.

4. Ejecutar la secuencia de comandos sudo script_name.

Por ejemplo, quiero cambiar el tiempo de espera de la pantalla en macOS. Esto se hace usando:

sudo pmset displaysleep time_in_minutes

Considero que cambiar el tiempo de espera del sueño es una acción inocente que no justifica la molestia de escribir una contraseña, pero pmsetpuede hacer muchas cosas y me gustaría mantener estas otras cosas detrás de la contraseña de sudo.

Entonces tengo el siguiente script en /usr/local/bin/ds:

#!/bin/bash
if [ $# -eq 0 ]; then
        echo 'To set displaysleep time, run "sudo ds [sleep_time_in_minutes]"'
else
        if [[ $1 =~ ^([0-9]|[1-9][0-9]|1[0-7][0-9]|180)$ ]]; then
                pmset displaysleep $1 
        else
                echo 'Time must be 0..180, where 0 = never, 1..180 = number of minutes'
        fi
fi

Al final del sudoersarchivo tengo la siguiente línea:

user_name ALL=(root) NOPASSWD: /usr/local/bin/ds

Para establecer el tiempo de espera en 3 minutos, ejecuto mi script desde la cuenta de usuario normal user_name:

sudo ds 3

PD La mayor parte de mi script es validación de entrada, que no es obligatoria, por lo que lo siguiente también funcionaría:

#!/bin/bash
pmset displaysleep $1