Chr*_*ieb 8 security linux sudo
我正在我的一些 Linux 服务器上设置 Nagios,但遇到了一些问题。该check_ide_smart插件需要对系统的 root 访问权限才能运行。要运行它,我使用该check_by_ssh插件通过 ssh 进入远程主机上的 nagios 帐户,然后check_ide_smart使用 sudo运行。
我最初添加了以下几行/etc/sudoers以允许程序工作:
nagios ALL=NOPASSWD: /usr/lib/nagios/plugins/check_ide_smart
虽然这在本地运行时效果很好,但当它从 Nagios 运行时我遇到了一个问题:没有生成 TTY,这阻止了插件工作。
我在 sudo 的手册页中找到了 -s 选项,它生成一个 shell 并在那里执行程序。当我尝试使用 时sudo -s,我遇到了权限问题,因为 -s 显然将命令更改为/bin/bash -c /usr/lib/nagios/plugins/check_ide_smart,这是 sudoers 文件所不允许的。我尝试更改 sudoers 文件以使用该命令,但这不起作用,并且使用引号是语法错误。
我最终通过在以下行中使用它来使其工作/etc/sudoers:
nagios ALL=/bin/bash
这对我来说真的是错误的,因为我允许 nagios 用户生成一个 root shell,他们可以用它做任何事情。
在这一点上,我认为也许,通过将命令放在 nagios 用户具有只读权限的 shell 脚本中会起作用,所以我创建了一个 shell 脚本:
#!/bin/sh
/bin/bash -c /usr/lib/nagios/plugins/check_ide_plugin $@
不幸的是,我永远无法获得传递的参数 ( 编辑:我需要引用$@) 以正确使用插件,所以我不知道这是否可行。$@它才能工作。感谢@derobert 和@pjz。我仍然不知道它是否会起作用,因为我使用@Mike Arthur 的解决方案让它工作。
有没有一种方法可以让我sudo -s在不允许生成 root shell 的情况下开始工作?
回答:
将以下行添加到/etc/sudoers:
nagios ALL=NOPASSWD: /bin/bash -c /usr/lib/nagios/plugins/check_ide_smart *
注意后面的星号;没有它,这是行不通的。感谢@Mike Arthur 的回答。