Como permitir que o usuário preserve o ambiente com o sudo?

Question

Como permitir que o usuário preserve o ambiente com o sudo?

#1 resposta do (18 votos)
#2 resposta do (0 votos)

12

Estou encontrando o seguinte erro ao tentar permitir que algumas variáveis de ambiente passem para o novo ambiente ao executar sudo :

sudo: sorry, you are not allowed to preserve the environment

Algumas informações que podem ser úteis para depurar:

[deploy@worker1 ~]$ sudo -l
    Matching Defaults entries for deploy on this host:
    requiretty, !visiblepw, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET
    XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin, env_keep+="GIT_WORK_TREE GIT_DIR", !requiretty

User deploy may run the following commands on this host:
    (ALL) NOPASSWD: /usr/bin/git, (ALL) /etc/init.d/httpd*, (ALL) /sbin/service, (ALL) /usr/bin/make, (ALL) /bin/echo

Meu exemplo de execução:

[deploy@worker1 ~]$ export GIT_DIR="/home/ashinn/testing"
[deploy@worker1 ~]$ sudo -E echo $GIT_DIR
sudo: sorry, you are not allowed to preserve the environment

Meu arquivo sudoers.d para esta configuração específica:

Defaults:deploy         env_keep += "GIT_WORK_TREE GIT_DIR", !requiretty
deploy  ALL=(ALL)       NOPASSWD: /usr/bin/git, /etc/init.d/httpd*, /sbin/service, /usr/bin/make, /bin/echo

Eu também tentei adicionar !env_reset aos Padrões e ele ainda falha com o mesmo erro. Eu sinto que posso estar perdendo algo óbvio e preciso de um segundo par de olhos. O que estou perdendo aqui?

sudo sudoers

por Andy Shinn 24.08.2013 / 23:35

2 respostas

0

Não especifique a opção -E . Usando -E você está dizendo que todas as variáveis de ambiente para o usuário deploy devem ser preservadas, não apenas GIT_DIR

A execução de sudo echo $GIT_DIR deve funcionar porque você adicionou GIT_DIR à env_keep list

por 12.12.2013 / 10:44

Tags sudo sudoers

Como você sai do modo de tela cheia? Não é possível formatar meu USB Flash Drive depois de instalar o Vanilla Chrome OS

score 18 · Accepted Answer

Você pode usar o SETENV "Tag" no seu arquivo sudoers , como em:

deploy  ALL=(ALL)       SETENV: /usr/bin/git, /etc/init.d/httpd*, /sbin/service, /usr/bin/make, /bin/echo

Ou para combiná-lo com o NOPASSWD:

deploy  ALL=(ALL)       NOPASSWD:SETENV: /usr/bin/git, /etc/init.d/httpd*, /sbin/service, /usr/bin/make, /bin/echo

trecho relevante do homem sudoers:

SETENV and NOSETENV

These tags override the value of the setenv option on a per-command basis. Note that if SETENV has been set for a command, the user may disable the env_reset option from the command line via the -E option. Additionally, environment variables set on the command line are not subject to the restrictions imposed by env_check, env_delete, or env_keep. As such, only trusted users should be allowed to set variables in this manner. If the command matched is ALL, the SETENV tag is implied for that command; this default may be overridden by use of the NOSETENV tag.