pkexec?

1. zenity для диалога 2. «sudo» для «операций»

Чем заменить kdesudo/gksu? (комментарий)

хотелось-бы ввести пароль один раз, и далее больше не «дергать».
возможно, в более поздних версиях «свистелок» это уже есть, но в «старом» kdesu этого нет, и требует каждый раз заново ввода пароля

Ну в 14.2 таки есть галочка про сохранить пароль (вызывается kdesud для этого).

«sudo» для «операций»

Так и настрой sudoers, чтобы он не спрашивал пароль, для твоего скрипта.

В наше время принято пользоваться PolicyKit, не?

а sudo можно выкинуть?

Вся современная настроечная гуйня в гноме и кедах работает через PolicyKit. Например, gnome-disks запускается без пароля, но на большинство операций выскакивает окошко с запросом пароля рута или юзера-админа. На некоторое время разрешение запоминается (видимо, для каждого типа операций отдельно) и пароль не спрашивается.

sudo -A поможет

всем сразу

pkexec
PolicyKit

no -->

slackware 12.2

...

zenity + sudo

в курсе, но время активной сессии «конечно» и зовисит от «настроек»

...

14.2 таки есть галочка про сохранить пароль

тоже в курсе -->

зоопарк, на каждый desktop свой свиток
slackware 12.2

...

настрой sudoers

слишком серьезно и глубоко, нужно решения в пользовательском окружении -->

для «обычного» пользователя с «обычным sudo»

...

sudo -A / --askpass

интересный пендиль, сенк

...

наиболее подходит zenity / sudo -S / sudo -A но остается «таймаут» и воможный повтор ввода пароля, при длит. операция

вопрос: плюсы/минусы сохранения пароля внутри скрипта в переменной?!

Не знаю, можно так или нет, но если спросить пароль у юзеров и сохранить его в переменной, и потом уже использовать для sudo.

можно так сделать, поэтому и спросил на склолько это «фи-кака». ведь, по идее, не кашерно хранить «чуть ли не в открытую» пароль :о)

плюсы/минусы сохранения пароля внутри скрипта в переменной?!

на склолько это «фи-кака»

Вопрос в другом: Что будешь делать, если введёшь не тот пароль (с учётом его сохранения в переменной)? Ситуация резко обострится. Будет фейл не одного, а всех sudo.

вопрос как раз в этом! :о)

плюсы/минусы сохранения пароля внутри скрипта в переменной?!

есть какие-то способы валидации пароля?

Ну и пусть хранится. Главное - не открытым текстом в самом скрипте.

Ну выполни sudo id, и проверь результат команды. Успешно - всё гуд, пароль правильный. Нет - неправильный. Завершай скрипт или спрашивай снова.

меня смущало вот что: если пароль не верный, то все равно отработает без проблем (если sudo без подтверждение пароля)

echo pass_no_true | sudo -S whoami
--> 
root

echo pass_no_true | sudo -S id
-->
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),7(lp),10(wheel),16(dialout),1000(beep)

пока все в голове варится, до «железки» добраться времени пока нет, собираю инфу :о)

Ну если sudo id возвращает root, то всё ок. Иначе - не прошло и надо спросить пароль заново.

наверно, я плохо обьясняю :о) тут, ситуация «паховая»... во время ввода был принят «неверный» пароль, он запоминается в переменной, и потом «используется»... вот этот момент смущает! ясен пень, что в предыдущ.коде отработается все равно нормально, но сам факт того, что пароль запомнился «неправильный»... как то заставляет задуматься! какие подводные камни, что еще можно ожидать от кода... итд итп...

как-то так... хочется четкого понимания картины... хотя-бы в голове :о)

накой вообще запоминать пароль в переменной? sudo -v/sudo -k и собственный кэш sudo - вполне себе хранилище

какое-то время или на всю сессию баш-скрипта?

man sudo

Security policies may support credential caching to allow the user to run sudo again for a period of time without requiring authentication. By default, the sudoers policy caches credentials on a per-terminal basis for 5 minutes. See the timestamp_type and timestamp_timeout options in sudoers(5) for more informa‐ tion. By running sudo with the -v option, a user can update the cached credentials without running a command.

т.е. вы предлагаете кажные 5 ... нет, кажные 4.5 минуты запускать команду валидации?! или я не правильно понял?

кажные 4.5 минуты запускать команду валидации?!

Что за «шарманка» то? Чо так долго?

ну т.е. да? именно это и предлогается?! спасибо, принял в копилку ! :о)))

p.s. но не катит... :о)

ну это как хотите. все зависит от вашей фантазии. я не видел ваш скрипт, и не знаю ни количества sudo в нем, ни периодичность их вызовов

возьмите за аналог gparted или как. иную подобную «шнягу» по сохранению/восстановлению имиджа диска ... или что ни-будь еще «какое иное счастье», вы же умные, сами придумайте :о)

хотя, «это тут» ни при чем... мы же рассматриваем общую задачу, балагурим, просто обмениваемся опытом... за что спасибо!!!

ну а по поводу вашего решения, сами-же видите, что «не совсем оно то, что надо» (при некоторых уточнениях)

да, я не придираюсь... спасибо за пендили :о)

п.с. под рукой пока нет конечной девелоп-железки, пока все в образах, в голове итд...

наброски проекта usb_flash_tool

как вариант, можно просто делать в начале скрипта

[[ $(id -u) != 0 ]] && exec sudo -A -- $0 $@

можно просто делать в начале скрипта

Почему не во white вместе с zenity+sudo пхнуть? И не в начало, а периодически?

а нахрена периодически перезапускать скрипт?

вы по поводу, первоначальной авторизации?

да. один sudo всяко лучше грозди

ну... «очевидный первоначальный пендиль-то» не проблема

вот «таймаут» - это да! пока вижу решение в сохранении пароля в переменной...

exec sudo -A -- $0 $@ перезапустит твой скрипт с правами рута. никаких дополнительных sudo (и, соответственно, паролей) больше не понадобится

а если охота перманентно пароль хранить - secret-tool в помощь

я и так могу запускающим скриптом через судо стартонуть основной скрипт... :о) или вообще через *.desktop/sudo

а шо делать с пользовательским логом, который будет писаться в рутовский каталог, с правами рута...? а потом захочется посмотреть его... итд итп... :о)

а лог вообще не проблема, если ты его пишешь

есть logger. есть exec > "/wherever/you/want/log.file" 2>&1

выбирай, что больше нравится

ни то ни другое не нравиться :о)

п.с. запускать основной скрипт под судо, это первое что пришло в голову и потом было протестировано, но как-то не прижилось... как говориться, есть нюансы... они для продвинутых :о)

да и потом, я видимо, многое не допонимаю, если основной скрипт будет запущен под судо, то и все команды внутри будут выполняться с правами рута... разве не прийдется немного дополнительно напрячься, что бы нормально слить юзеру лог-файл с нормальными правами доступа, в каталог пользователя? (могу ошибаться, поправьте)

ну вылысыпедь тогда квадратные колеса, бог в помощь

как говориться, есть нюансы… они для продвинутых

Разве sudo ./script > log логит под рут?

разве не прийдется немного дополнительно напрячься, что бы нормально слить юзеру лог-файл с нормальными правами доступа, в каталог пользователя? (могу ошибаться, поправьте)

в случае с перенаправлением через exec спокойно можно выставить файлу правильных владельца и права доступа

нет, для пользователя...

но у меня немного другой велописед, из-за того, что при использовании zenity-GTK3 на моих тестовых машинах в эхо очень много мусора высиралось, от чего логи становились нечитаемые

поэтому, я использую свою внутреннюю, в скрипте, функцию логирования...

если вы про

exec > «/wherever/you/want/log.file»

то я ответил, по поводу «своей функции логирования»...

или я не правильно понимаю ситуацию, тогда, не стесняйтесь, тыкайте, мокайте, пинайте :о)

спасибо

п.с. к стати, если не изменяет память, я об этом писал в тесктовиках и скрипте (в комментах) в проекте на сорсфорже

при перенаправлении с exec можно и свои фильтры навтыкать. как пример - https://sanana.kiev.ua/index.php/archives/64

кроме того, exec по идее наследует открытые файловые дескрипторы, так что перенаправление можно сделать перед exec sudo и тем самым сразу заполучить правильные пермишены лога

если под «мусором zenity-GTK3» понимается выхлоп gtk-шных ворнингов, могу посоветовать yad вместо zenity. ну или просто подавление stderr (2> /dev/null)

за инфу, сенк, будет секундачка почитаю

по поводу мусора - ну там не только варнинги, там черт ногу сломает все это разгребать :о) решил что будет удобнее все-таки сделать отдельно логирование

про yad в курсе, но решил все-таки зенитю юзать, т.к. яд заброшен раньше, чем зинитя, а это, как говорил Довыдов - Факт...

по идее наследует открытые файловые дескрипторы,

вроде разобрались, что тут без проблем

перенаправление можно сделать перед exec sudo

вот этот вариант не понятен (сенк... за сранее)

stderr (2> /dev/null)

да, вроде как пробовал, что-то не понравилось опять таки :о) ошибки было-бы неплохо, все-таки видеть... :о) что-то еще не проканало... голова опухла от всего этого колдовства :о)

спасибо запендили

яд заброшен раньше, чем зинитя

правда, чтоле? я вообще-то разработчик yad-а, почему мне никто не сказал, что он заброшен?

ошибки было-бы неплохо, все-таки видеть…

https://sanana.kiev.ua/index.php/archives/100

ну... будем знакомы :о)

yad-0.40.0.tar.xz	2017-11-18

ананас с ядом - интересное сочетание! :о)

...

мне вот с logger-ом некоторые моменты не понятны т.е. я не могу лог отправить в кастом-файл с кастомным сообщением?

-f, --file file

Log the contents of the specified file.  This option cannot be combined with a command-line  message.

или я не там смотрю?

я не знаю, где вы смотрите, но - https://github.com/v1cont/yad, последний релиз 6.0 был в апреле

я не могу лог отправить в кастом-файл с кастомным сообщением?

нет, эта опция для отправки содержимого файла в syslog. но указывая свои priority и msgid можно спокойно выгребать и фильтровать сообщения на уровне настройки сислога или грепать их из общих логов

ну где где... там где обычно ... зайцы морковку дергают тут

ну, тогда да, это вопрос к слаковому мейнтейнеру. хуль он тормозит, или просто забил на это дело

они такие... :о)

...

нет, эта опция для отправки содержимого файла в syslog. но указывая свои priority и msgid можно спокойно выгребать и фильтровать сообщения на уровне настройки сислога или грепать их из общих логов

мать моя... вот так вечером спросишь у незнакомца закурить, а он тебе такую тираду выдасть... все, амбда! психушка обеспечена

из всего сказанного понятно... что же мне понятно?! да хрен знает! :о) вопрос был в частности про кастомный пользовательский лог (в хомятнике юзверя)

вопрос был в частности про кастомный пользовательский лог (в хомятнике юзверя)

вот пример того, о чем я говорил

(victor@ksakep)~/tmp/log $> ll                                                                                                          [sh]
итого 4.0K
-rwxr-xr-x 1 victor users 139 июл 31 16:22 t.sh*
(victor@ksakep)~/tmp/log $> cat t.sh                                                                                                    [sh]
#! /bin/bash

if [[ $(id -u) != 0 ]]; then
    exec > $(pwd)/logfile 2>&1
    exec sudo -- $0 $@
fi

echo -n "message to log from "
id -un
(victor@ksakep)~/tmp/log $> ./t.sh                                                                                                      [sh]
(victor@ksakep)~/tmp/log $> ll                                                                                                          [sh]
итого 8.0K
-rw-r--r-- 1 victor users  25 июл 31 16:22 logfile
-rwxr-xr-x 1 victor users 139 июл 31 16:22 t.sh*
(victor@ksakep)~/tmp/log $> cat logfile                                                                                                 [sh]
message to log from root
(victor@ksakep)~/tmp/log $>                                                                                                             [sh]

лог пользовательский, но пишет в него рут

где-то тут был телефон психушки?! :о)