Отлов сессии su/sudo

3

4

Вот мне интересно стало, можно ли из bash скрипта отловить факт того, что пользователь уже раз заходил в систему и теперь меняет пользователя? Меня не привилегии интересуют, а именно факт того, что текущая интерактивная сессия открыта через

su или sudo -i?

(Ну я имею ввиду более человеческий способ, чем парсить выхлоп ps axf.)

Ссылка

←	awk, как корректно экранировать внутреннюю переменную?

Emacs. Не показывает изображения

→

ps -o comm=$$ | sed -n 's/^su\(\(do\)\|\).*/yes/p; tq; $s/^.*$/no/p; b; :q; q'

evilface ★★
(07.01.17 01:58:00 MSK)

Ответ на: комментарий от evilface 07.01.17 01:58:00 MSK

С GNU sed можно использовать код возврата:

 ps -o comm=$$ | sed -nr '/^su(do)?/q1'

Вернёт 1 если есть su или sudo, иначе 0.

evilface ★★
(07.01.17 02:01:14 MSK)
Последнее исправление: evilface 07.01.17 02:02:58 MSK (всего исправлений: 1)

Ссылка

grep sudo:session /var/log/auth.log? Правда это так с pam работает.

~~kirk_johnson~~ ★☆
(07.01.17 10:03:40 MSK)
Последнее исправление: kirk_johnson 07.01.17 10:04:35 MSK (всего исправлений: 1)

Ссылка

Переменные SUDO_*

anonymous
(07.01.17 10:15:10 MSK)

Ответ на: комментарий от anonymous 07.01.17 10:15:10 MSK

Это если из того же шелла. Ну или в /proc/<pid>/environ смотреть.

~~kirk_johnson~~ ★☆
(07.01.17 10:44:33 MSK)

Ответ на: комментарий от kirk_johnson 07.01.17 10:44:33 MSK

Читаем ОП:

текущая интерактивная сессия

anonymous
(07.01.17 10:50:07 MSK)

Ссылка

сравнивать `who am i| cut -d\ -f1` с содержимым $USER или id -ni
можно в /root/.bash_profile

bl ★★★
(07.01.17 16:21:26 MSK)

Всем спасибо. :)

atrus ★★★★★
(08.01.17 01:56:43 MSK) автор топика

Ссылка

Ответ на: комментарий от bl 07.01.17 16:21:26 MSK

Очень неплохо. Но я всё-таки решил воспользоваться вариантом с ps. Оказалась есть забавная ситуация, root может тоже набрать sudo -i и фокус не удастся. :)

Не то, чтобы это было фатально, но уж хотелось аккуратно всё сделать.

atrus ★★★★★
(08.01.17 02:04:04 MSK) автор топика

Ответ на: комментарий от atrus 08.01.17 02:04:04 MSK

Руту можно запретить делать sudo :-)

Курить опцию !root_sudo для sudoers

Pinkbyte ★★★★★
(08.01.17 05:46:22 MSK)

Ответ на: комментарий от Pinkbyte 08.01.17 05:46:22 MSK

А для su? ;-)

atrus ★★★★★
(08.01.17 16:05:16 MSK) автор топика

Можно добавить отладочный код с записью в журнал в исходный код su.

~~u0atgKIRznY5~~ ☆
(08.01.17 16:26:14 MSK)

Ссылка

Ответ на: комментарий от atrus 08.01.17 16:05:16 MSK

правилом на pam вполне реально разрулить - делать reject если uid = 0

Pinkbyte ★★★★★
(09.01.17 00:33:19 MSK)

Ответ на: комментарий от Pinkbyte 09.01.17 00:33:19 MSK

Так же не только root может сделать по идее.

atrus ★★★★★
(09.01.17 00:51:57 MSK) автор топика

Ответ на: комментарий от atrus 09.01.17 00:51:57 MSK

Случай когда есть несколько логинов с uid=0 не рассматриваем(а такое возможно), окей? :-)

Pinkbyte ★★★★★
(09.01.17 13:00:45 MSK)

Ответ на: комментарий от Pinkbyte 09.01.17 13:00:45 MSK

Я имел ввиду что «в себя» прыгнуть может не только рут. (sudo -u someuser -i).

В принципе совсем надёжный способ - это парсить audit.log, потому что там прямо написано кто и как вошёл и pid процесса указан. Но этот лог на чтение доступен только root. :)

atrus ★★★★★
(09.01.17 14:55:36 MSK) автор топика

Ответ на: комментарий от atrus 09.01.17 14:55:36 MSK

А, тебе запретить смену uid через sudo на свой собственный? Ну тут я хз

Pinkbyte ★★★★★
(09.01.17 15:24:28 MSK)

Ответ на: комментарий от Pinkbyte 09.01.17 15:24:28 MSK

Мне не запретить, мне чтобы код это отлавливал и не отрабатывал. Но это уже было решено способом @evilface.

atrus ★★★★★
(09.01.17 16:32:51 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	awk, как корректно экранировать внутреннюю переменную?

General

Emacs. Не показывает изображения

→

Похожие темы