Проверка валидности указанного пароля root в bash скрипте

Я правильно понимаю, что с авторизацией по ключам есть некие непреодолимые проблемы и поэтому парольный доступ это единственный путь?

Да, по ключам допускается авторизация только для юзеров, к тому же в процессе обновления удаленные хосты самостоятельно качают обновления с сервера, соответственно ключевая авторизация к серверу должна быть и у них, а это крайне нехорошо

Все манипуляции выполняются от имени root

Так проверяй root’a, а не пароли

if [ "$EUID" -ne 0 ]; then
    echo "Bye!"
    exit 0
fi

Возможно я не так понял. Однако, у тебя неверная постановка задачи. Ты чего-то не того хочешь.

Как проверить что введен правильный пароль root?

При запуске от рута это не катит.

У меня такое ощущение, что ты пытаешься переизобрести оркестрацию. Может лучше использовать для этого всего готовые системы, в которых подобные проблемы уже решены?

Пароль рута запрашивается при запуске и в дальнейшем используется тут же в скрипте (по необходимости) и передается на удаленные хосты для использования там. Независимо от кого запускается основной скрипт, апдейт на удаленных хостах выполняется под рутом т.к. может затрагивать /etc/… и т.п. + пароль рута нужен для обратной связи с сервером. На разных хостах могут быть забиты разные юзеры, на некоторых вообще нет никого кроме рута (такая специфика), а рут есть везде и пароль везде одинаковый

Увы, вынужден использовать то что уже имеется, доустановка «готовых систем» невозможна

Прочитайте внимательно шапку: Запуск возможен от любого юзера. В том числе и от рута. И проверять это незачем.

К тому же «готовые системы» слишком универсальны, и все равно требуют допиливания под конкретные нужды. Овчинка выделки не стоит. Имеется полностью функциональная система, описанная проблема практически единственное слабое место, которое не особо и мешает, просто опечатку и дальнейшую кривую работу трудно отслеживать

Возиться с shadow слишком муторно

тем не менее это единственный путь. В libc есть простой апи (man getpwnam, man crypt), но что-то мне подсказывает, что компилять что-то вручную на этом хосте вообще не вариант.

Поэтому таки да. Вот например кто-то написал делающий это shell-скрипт: https://github.com/TobjasR/chkpasswd. Наверно можно использовать его, если openssl в зависимостях не смущает.

Есть есть какой-то обычный пользователь на хосте или можно его временно создать, то можно извратиться:

su -c 'su -c exit -' - user

рут есть везде и пароль везде одинаковый

Ну, как вариант… Если пароль заранее известен, можно не в открытом виде хранить, а хэш и сравнивать по нему.

можно не в открытом виде хранить, а хэш Увы, пароль подается в expect, хэш там не примут

запускать скрипт из-под sudo. на всех машинах через sudoers.d разрешать беспарольный запуск этого скрипта от root.
далее защита скрипта от редактирования и изменения от простых пользователей.

можно извратиться Интересное решение, запрашивает пароль рута даже при запуске от рута, а как можно вытащить оттуда результат? Ну, типа сработало или нет? Мне это вряд-ли подойдет из-за ограниченных возможностей по манипуляции списком юзеров, но интерес вызвало

запускать скрипт из-под sudo. на всех машинах через sudoers.d разрешать беспарольный запуск этого скрипта от root

Все это было бы легко, когда бы не было так сложно. Еще проще забить пароль прямо в тексте скрипта и дать ему полномочия –х–х–х. Это не просто грабли, это грабли без зубьев. Все подобные версии уже были рассмотрены и отброшены

Добавлю, что все правки и изменения возможны только В ТЕЛЕ СКРИПТА. Любые изменения системных настроек, списка юзеров, цвета изоляции сетевого кабеля и т.д НЕДОПУСТИМЫ

автоматизирующий процесс обновления и конфигурирования некоторого софта на солидной группе удаленных хостов

bash-скрипт

А почему не система управления конфигурациями?

Кажется человеку нужен ansible

Вместо exit вписать "echo works" и проверять вывод.

почему не система управления конфигурациями?

Потому что речь идет не о системной конфигурации, а о конфигурации специализированного софта, который имеет кучу своих конфиг-файлов и только чуть-чуть использует системные (сетевые)

Вместо exit вписать «echo works» и проверять вывод

А если с expect-ом, то как?

Я его не использовал, но там вроде была какая-то проверка на вывод. И если он stderr не парсит, можно выводить в него.

Проверять $? от

sudo :

Проверять $? от sudo :

Я уточню: проблему составляет проверка правильности введенного по read пароля рута при запуске скрипта от рута. При запуске от не-рута проблем нет. А sudo от рута всегда Ок

при запуске от рута судо не смотрит на пароль, сколь помню, ему достаточно правила root ALL=(ALL:ALL) ALL в /etc/sudoers

Возиться с shadow слишком муторно

А надо. Всё остальное, в данном случае - костыли.

От рута вместо `su` вызывай `setpriv --reuid 1000 su`

Возможный вариант

Поэкспериментировав остановился на следующем ''' if [ -z ${RPASS} ] ; then echo -n "Enter ROOT passwd: " read -s RPASS echo fi

check RPASS

if [ «${UID}» -ne 0 ]; then MKDIRS=${USER}$(date +%F) f_run «su -c "> /var/${MKDIRS}"» «${RPASS}» if [ ! -f «/var/${MKDIRS}» ] ; then echo «Invalid ROOT passwd» exit 0 else f_run «su -c "rm -f /var/${MKDIRS}"» «${RPASS}» fi else MKDIRS=$(grep -E «:x:1[0-9]{3}:» /etc/passwd | cut -d: -f1) CH_SUMT=$(date +%s) expect -c «spawn su -c "su -c exit" - ${MKDIRS} while 1 { expect { "*:" { send "${RPASS}\r" } break }} interact» &>/dev/null ((CH_SUME = $(date +%s) - ${CH_SUMT})) if ((CH_SUME > 1)) ; then echo «Invalid ROOT passwd» exit 0 fi fi ''' В основе алгоритма тот факт, что при неправильном пароле отклик системы идет с задержкой 3-4 сек, а при правильном реакция наступает сразу. 100% гарантии как страховой полис это не дает, но уже что-то в противовес мытарствам с shadow. Спасибо всем кто приложил мозг и руку к теме. Отдельное СПАСИБО xaizek-у, думаю он сразу узнает свои строки в тексте. Буду рад ознакомиться с конструктивной критикой, в этом мире ничто не идеально. Всем удачи!

Как-то форматирование не заладилось

От рута вместо su вызывай setpriv --reuid 1000 su

Нету setpriv, и допоставить нельзя