Наименее инвазивный рутовый шелл на sudo

0

2

Хочется иногда удобно получать рутовый шелл, так чтобы сохранить все свои функции из .bashrc и все переменные, включая dbus-ные эндпойнты, DISPLAY, членство в группах, в общем, всё, кроме собственно uid. Пока сделал:

if [[ -z $SUDO_USER ]]; then
    RootShell() {
        sudo -E \
            env HOME="$HOME" PS1="$PS1$On_Red<sudo>$Color_Off " \
            /bin/bash --rcfile "$HOME"/.bashrc
    }
fi

Получилось довольно похоже, но группы не сохраняются:

[d_a@home ~]$ id
uid=1000(d_a) gid=1000(d_a) группы=1000(d_a),10(wheel),18(dialout),135(mock),988(vboxusers),990(wireshark) контекст=unconfined_u:unconfined_r:unconfined_t:SystemLow-SystemHigh
[d_a@home ~]$ RootShell
[root@home ~]# <sudo> id
uid=0(root) gid=0(root) группы=0(root) контекст=unconfined_u:unconfined_r:unconfined_t:SystemLow-SystemHigh
[root@home ~]# <sudo> exit
[d_a@home ~]$

У sudo есть ключ -g, но с ним не работает:

[d_a@home ~]$ sudo -E -g \#1000 env HOME="$HOME" PS1="$PS1$On_Red<sudo>$Color_Off " /bin/bash --rcfile "$HOME"/.bashrc
Sorry, user d_a is not allowed to execute '/bin/env HOME=/home/d_a PS1=[\u@\h \W]\$ \e[41m<sudo>\e[0m  /bin/bash --rcfile /home/d_a/.bashrc' as d_a:d_a on home.

Настройка sudo стандартная (%wheel ALL=(ALL) ALL). Конфиг у него очень страшный, хуже только PAM. Можно ли как-нибудь сохранить группы или выкидывать sudo и на чём-то другом делать такой shell?

Ссылка

←	Не могу понять что с моим интернетом

4G-модем МТС в Debian 8.7.1 Jessie

→

sudo -P bash ?

~~superguest~~
(17.02.17 21:11:32 MSK)

Ответ на: комментарий от superguest 17.02.17 21:11:32 MSK

Ой, так просто, а я проглядел, точнее там было что-то страшное написано, и решил что это не оно. Спасибо вам, но стыдоба такая ¡_¡

Так в итоге костыльненько, но можно кататься https://github.com/Jajauma/dotfiles/blob/master/bash/.bashrc#L125, если кто знает короче, может поделится.

d_a ★★★★★
(17.02.17 21:15:59 MSK) автор топика
Последнее исправление: d_a 17.02.17 21:20:46 MSK (всего исправлений: 1)

Ответ на: комментарий от d_a 17.02.17 21:15:59 MSK

Рад, если помог. А так не проще:

sudo -sPE

~~superguest~~
(18.02.17 02:31:37 MSK)

Ответ на: комментарий от superguest 18.02.17 02:31:37 MSK

Нет, так совсем плохо -- все мои тулзы из .bashrc и ~/.local/bin пропали.

d_a ★★★★★
(18.02.17 02:35:50 MSK) автор топика

А хорошо б ещё впилить, чтобы из этого рутового шелла файлики с моими правами создавались. Т.е. сейчас вот

[d_a@home dotfiles]$ RootShell 
[root@home dotfiles]# <RootShell> touch /tmp/test; ls -l $_
-rw-r--r--. 1 root root 0 фев 18 02:46 /tmp/test

а хорошо бы чтобы они сразу d_a.d_a были. Вот это был бы суперкрутой рут-шелл. Разотмечу я наверное тредик пока.

d_a ★★★★★
(18.02.17 02:48:44 MSK) автор топика

Ссылка

Ответ на: комментарий от d_a 18.02.17 02:35:50 MSK

у меня работает, но там костыль в .bashrc, что докидывает путь:

[[ -d "${HOME}/.bin" ]] &&  [[ "${PATH}" != *.bin* ]] && export PATH="${HOME}/.bin:${PATH}"

а для доступа пользователю можно так:

sudo -sPE -u root -g $USER

но нужно тогда umask=2 дописывать, потому что создаётся такое: -rw-r--r-- 1 root superguest 0 фев 18 01:58 /tmp/12

~~superguest~~
(18.02.17 03:02:14 MSK)

Ответ на: комментарий от superguest 18.02.17 03:02:14 MSK

Костыли для PATH или umask то ладно, я навинчу, а вот sudo с ключами -u/-g меня не пускает:

[d_a@home dotfiles]$ sudo -sPE -u root -g d_a
[sudo] password for d_a: 
Sorry, user d_a is not allowed to execute '/bin/bash' as root:d_a on home.

Наверное надо sudo как-то настраивать, и/или PAM? Но лезть туда очень не хочется, во-первых, не умею, во-вторых, все эти правочки system-wide они никуда не сохраняются, и на другую машину мне их потом уже не перелить.

d_a ★★★★★
(18.02.17 03:08:17 MSK) автор топика

Ответ на: комментарий от d_a 18.02.17 03:08:17 MSK

А ну:))) нет, просто у меня всё криво сделано. У рута тупо ссылки на пользовательские ~/.bashrc и ~/.bin

~~superguest~~
(18.02.17 03:12:07 MSK)

Ответ на: комментарий от superguest 18.02.17 03:12:07 MSK

На самом деле дёшево и сердито, я наверное мог бы также устроить, но уж из спортивного интереса помудохаюся.

d_a ★★★★★
(18.02.17 03:14:32 MSK) автор топика

Ссылка

Ответ на: комментарий от d_a 18.02.17 03:08:17 MSK

а может и правда настройки, вот что в sudoers: %sudo ALL=(ALL:ALL) ALL

~~superguest~~
(18.02.17 03:40:28 MSK)

Ответ на: комментарий от superguest 18.02.17 03:40:28 MSK

Да, я привёл к такому виду как у вас (ALL:ALL), стало пускать. А из коробки там такое (центось):

## Allows people in group wheel to run all commands
%wheel	ALL=(ALL)	ALL

и иди разбирайся, отчего не пускает. Задача моя, не то чтобы упростилась, но немного прояснилась :) Может попробовать написать свой suid-ный бинарник на C и закинуть его прямо в dotfiles. За время ковыряния в судо это видится мне уже проще.

d_a ★★★★★
(18.02.17 03:55:59 MSK) автор топика

Ответ на: комментарий от d_a 18.02.17 03:55:59 MSK

Такая программка получилась вместо судо https://gist.github.com/Jajauma/bb75c158984bad6168dd9949e5409e9a, там настраивать нечего :) енвайронмент не ломает, группы не ломает, с паролями не задалбывает.

d_a ★★★★★
(18.02.17 17:54:56 MSK) автор топика