Como verificar corretamente se a inclusão de um arquivo no sudoers.d entraria em conflito com outros arquivos?

2

Eu fiz um shell script para escrever /etc/sudoers.d/aptget -file mas ele está quebrando o sudo se um alias já estiver definido em / etc / sudoers ou em qualquer arquivo em /etc/sudoers.d/ . Eu estou usando o visudo para editar os arquivos, mas ele não captura o erro, pois parece verificar apenas o arquivo que está sendo editado atualmente.

Anteriormente eu adicionei seguindo manualmente em / etc / sudoers

Cmnd_Alias APTGETUPDATE = /usr/bin/apt-get update *
Cmnd_Alias APTGETINSTALL = /usr/bin/apt-get -y --force-yes install *

%aptgroup ALL = (root) NOPASSWD: APTGETUPDATE, APTGETINSTALL
Defaults!APTGETUPDATE !requiretty
Defaults!APTGETINSTALL !requiretty

Tudo funcionou bem. Fazer um script para escrever um /etc/sudoers.d/aptget ou adicionar manualmente acima nele passa a checagem de visudo mas faz com que o sudo não funcione.

script.sh:

#!/bin/bash

updaterSudoers="$(cat <<EOF
Cmnd_Alias APTGETUPDATE = /usr/bin/apt-get update *
Cmnd_Alias APTGETINSTALL = /usr/bin/apt-get -y --force-yes install *

%aptgroup ALL = (root) NOPASSWD: APTGETUPDATE, APTGETINSTALL
Defaults!APTGETUPDATE !requiretty
Defaults!APTGETINSTALL !requiretty
EOF
)"

echo "$updaterSudoers" | (EDITOR="tee -a" visudo -f /etc/sudoers.d/aptget)

erro:

>>> /etc/sudoers: Alias 'APTGETUPDATE' already defined near line 31 <<<
>>> /etc/sudoers: Alias 'APTGETINSTALL' already defined near line 31 <<<
sudo: parse error in /etc/sudoers near line 31
sudo: no valid sudoers sources found, quitting
sudo: unable to initialize policy plugin

Linhas de 31 em diante em sudoers:

31  Cmnd_Alias APTGETUPDATE = /usr/bin/apt-get update *
32  Cmnd_Alias APTGETINSTALL = /usr/bin/apt-get -y --force-yes install *
33  
34  %aptgroup ALL = (root) NOPASSWD: APTGETUPDATE, APTGETINSTALL
35  Defaults!APTGETUPDATE !requiretty
36  Defaults!APTGETINSTALL !requiretty
    
por Pinps 05.10.2016 / 15:17

1 resposta

1

Incluindo temporariamente o arquivo sudoers original e limpando o arquivo antigo parece fazer o truque.

includeCurrent=$'#include /etc/sudoers\n'
echo "$includeCurrent$updaterSudoers" | visudo -c -q -f -

Todo o sudoers.sh acabei tendo.

#!/bin/bash

#Clear the current file if it exsists 
#Warning: this might break stuff if you edit current user visudo rights
if [[ -f "/etc/sudoers.d/aptget" ]]
then
  echo -n > "/etc/sudoers.d/aptget"
fi

#New settings to be added
updaterSudoers="$(cat <<EOF
Cmnd_Alias APTGETUPDATE = /usr/bin/apt-get update *
Cmnd_Alias APTGETINSTALL = /usr/bin/apt-get -y --force-yes install *

%aptgroup ALL = (root) NOPASSWD: APTGETUPDATE, APTGETINSTALL
Defaults!APTGETUPDATE !requiretty
Defaults!APTGETINSTALL !requiretty
EOF
)"

#Include current sudoers file
includeCurrent=$'#include /etc/sudoers\n'

#Validate new settings with current settings
echo "$includeCurrent$updaterSudoers" | visudo -c -q -f -
if [ "$?" -eq 0 ]
then
  #Write /etc/sudoers.d/aptget with updateSudoers value
  echo "$updaterSudoers" | (EDITOR="tee" visudo -f /etc/sudoers.d/aptget) &> /dev/null
else
  #Yell and exit in case of error
  echo "ERROR CHECKING SUDOERS FILE:"
  echo "$includeCurrent$updaterSudoers" | visudo -c -f -
  exit 1
fi

#If sudoers.d or sudoers.d/aptget is not included include only sudoers.d/aptget
grep -xq "#includedir /etc/sudoers\.d/\?" /etc/sudoers || grep -xq "#include /etc/sudoers\.d/aptget" /etc/sudoers
if [ "$?" -eq 1 ]
then
  echo "#include /etc/sudoers.d/aptget" | (EDITOR="tee -a" visudo -f /etc/sudoers) &> /dev/null
fi
    
por 05.10.2016 / 23:58

Tags