你如何提示使用Ruby的sudo密码?

通常我会发现自己需要编写脚本,这些脚本必须以普通用户身份执行某些部分,并以超级用户身份执行其他部分。 我知道在SO上有一个类似的问题,答案是两次运行相同的脚本,并将其作为sudo执行,但这对我来说还不够。 有时候我需要在sudo操作之后恢复为普通用户。

我已经在Ruby中编写了以下内容来执行此操作

#!/usr/bin/ruby require 'rubygems' require 'highline/import' require 'pty' require 'expect' def sudorun(command, password) `sudo -k` PTY.spawn("sleep 1; sudo -u root #{command} 2>&1") { | stdin, stdout, pid | begin stdin.expect(/password/) { stdout.write("#{password}\n") puts stdin.read.lstrip } rescue Errno::EIO end } end 

不幸的是,如果用户input了错误的密码,那么使用该代码脚本就会崩溃。 理想情况下,它应该给用户3尝试获得sudo密码的权利。 我该如何解决?

我在Linux Ubuntu上运行这个BTW。

Solutions Collecting From Web of "你如何提示使用Ruby的sudo密码?"

在我看来,运行一个脚本,与sudo内部做东西是错误的。 更好的方法是让用户使用sudo运行整个脚本,并让脚本派生较少特权的子项来执行任务:

 # Drops privileges to that of the specified user def drop_priv user Process.initgroups(user.username, user.gid) Process::Sys.setegid(user.gid) Process::Sys.setgid(user.gid) Process::Sys.setuid(user.uid) end # Execute the provided block in a child process as the specified user # The parent blocks until the child finishes. def do_as_user user unless pid = fork drop_priv(user) yield if block_given? exit! 0 # prevent remainder of script from running in the child process end puts "Child running as PID #{pid} with reduced privs" Process.wait(pid) end at_exit { puts 'Script finished.' } User = Struct.new(:username, :uid, :gid) user = User.new('nobody', 65534, 65534) do_as_user(user) do sleep 1 # do something more useful here exit! 2 # optionally provide an exit code end puts "Child exited with status #{$?.exitstatus}" puts 'Running stuff as root' sleep 1 do_as_user(user) do puts 'Doing stuff as a user' sleep 1 end 

这个示例脚本有两个辅助方法。 #drop_priv需要一个用户名,uid和gid定义的对象,并适当减少执行过程的权限。 在生成所提供的块之前,#do_as_user方法在子进程中调用#drop_priv。 请注意使用#exit! 以防止孩子在块外部运行脚本的任何部分,同时避免使用at_exit钩子。

经常被忽视的安全问题需要考虑:

  • 打开文件描述符的继承
  • 环境变量过滤
  • 用chroot运行孩子?

根据脚本正在做什么,可能需要解决这些问题。 #drop_priv是处理所有这些问题的理想场所。

如果可能的话,你可以将你想要执行的东西作为根移动到一个单独的文件中,并使用system()函数作为sudo来运行它,包括sudo提示等。

 system("sudo ruby stufftorunasroot.rb") 

system()函数被阻塞,所以程序的流程不需要改变。

我不知道这是你想要或需要,但你有没有尝试sudo -A (搜索网页或SUDO_ASKPASS的手册页,它可能有一个像/ usr / lib / openssh / gnome-ssh-askpass或类似的值)? 当我需要在GUI环境中向用户提供图形密码对话时,这就是我所使用的。

对不起,如果这是错误的答案,也许你真的想留在控制台上。

 #!/usr/bin/ruby # ... blabla, other code # part which requires sudo: system "sudo -p 'sudo password: ' #{command}" # other stuff # sudo again system "sudo -p 'sudo password: ' #{command}" # usually sudo 'remembers' that you just authenticated yourself successfuly and doesn't ask for the PW again... # some more code...