• sudo执行脚本找不到环境变量和命令


    简介

    变量

    普通用户下,设置并export一个变量,然后利用sudo执行echo命令,能得到变量的值,但是如果把echo命令写入脚本,然后再sudo执行脚本,就找不到变量,未能获取到值,如题情况如下:

    $ cat tesh.sh 
    echo $var 
    $ var=aaa 
    $ export var                       # export 变量 
    $ sudo echo $var                   # sudo执行echo命令,返回变量值 
    aaa 
    $ sudo bash test.sh                # sudo执行脚本,不能获取变量值 
    
    $ bash test.sh                     # 普通用户执行脚本,返回变量值 
    aaa
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10

    原因 
    sudo运行时,会默认重置环境变量为安全的环境变量,也即,但前面设置的变量都会失效,只有少数配置文件中指定的环境变量能保存下来。

    sudo的配置文件是 /etc/sudoers 需要root权限才能读取:

    $ sudo sed ‘/^#/d;/^$/d’ /etc/sudoers
    
    Defaults env_reset 
    Defaults mail_badpass 
    Defaults secure_path=”/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin” 
    root ALL=(ALL:ALL) ALL 
    %sudo ALL=(ALL:ALL) ALL 
    xxx ALL=(ALL:ALL) NOPASSWD:ALL
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8

    不过可以直接通过sudo -l来查看sudo的限制: 

    $ sudo -l  

    Matching Defaults entries for xxx on this host: 
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin 
    
    User xxx may run the following commands on this host:
     (ALL : ALL) NOPASSWD: ALL
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6

    注意看第一行的选项 Defaults env_reset 表示默认会将环境变量重置,这样你定义的变量在sudo环境就会失效,获取不到。 
    另外有的发行版还有一个Defaults env_keep=”“的选项,用于保留部分环境变量不被重置,需要保留的变量就写入双引号中。

    为什么sudo echo $var能获取到变量值? 
    既然利用sudo执行会重置环境变量,那么为什么还能echo获取到相应的变量呢? 
    这是由于shell命令行的替换&重组功能,在输入命令,按下回车时,shell会先依据分隔符将命令行切割成字段,对每个字段查找有没有变量或命令替换,再替换完成后,重组成新的命令,再去执行。 
    所以,命令实际执行是:

    $ sudo echo $var                   # $var => aaa 
    (sudo echo aaa)                    # 完成命令替换&重组 
    (echo aaa)                         # sudo环境中执行 
    aaa
    • 1
    • 2
    • 3
    • 4

    因此,sudo环境重置后,并不用去引用$var这个变量,而是直接echo aaa。

    解决

    1. sudo -E

      -E选项在man page中的解释是:

    -E
    The -E (preserve environment) option indicates to the security policy that the user wishes to preserve their existing environment variables. The security policy may return an error if the -E option is specified and the user does not have permission to preserve the environment.
    • 1
    • 2

    简单来说,就是加上-E选项后,用户可以在sudo执行时保留当前用户已存在的环境变量,不会被sudo重置,另外,如果用户对于指定的环境变量没有权限,则会报错。

    $ sudo -E bash test.sh # 加上-E参数后就可以获取到变量 aaa 
    2. 修改sudo配置文件 
    在内部测试机器中,安全性要求不高,总是需要加上-E参数来执行脚本,这个安全设定也不是很方便,可以通过visudo命令来修改配置为保留原有的环境变量,具体修改如下

        $sudo visudo 
        # Defaults env_reset                  # 注释掉原有配置 
        # Defaults env_keep=”…”               # 注释掉指定的变量保持
    • 1
    • 2
    • 3

    Defaults !env_reset # 修改为不重置环境 
    3. 手动添加变量 
    手动在脚本中设置所需的变量,这样看起来比较麻烦,或者在执行sudo脚本前先将所需要的变量写入到要执行的脚本开头.

    命令

    对于自己安装的软件在sudo提示找不到的命令(没加sudo可以找到),在这个后面添加命令所在的路径

    secure_path=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin 
    • 1
    secure_path=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:自定义路径 
  • 相关阅读:
    安卓查询当前所在地天气及查询地区(城市)代码cityCode localCode
    文件读写IO
    【桌面虚拟化】之三 Persistent vs NonP
    Android软件开发之常用系统控件界面整理
    Spring 3.x企业应用开发实战(11)----基于@AspectJ配置切面
    Java之Static静态修饰符详解
    OWASP
    2001中美黑客大战
    能"干掉"苹果的中国"黑客"
    Roy Li的学习和成长自传
  • 原文地址:https://www.cnblogs.com/zhaoxinshanwei/p/8559741.html
Copyright © 2020-2023  润新知