是否可以获知是谁通过 sudo 运行的我

自由建客 · **发表于 :** 2016-10-28 20:00

脚本 mycmd 需要根特权，普通帐户通过 sudo 运行。
问题，在 mycmd 中能否获知是哪个帐户通过 sudo 来启动的自己？
不能让调用方通过参数传入，防欺诈。

vickycq · **发表于 :** 2016-10-28 20:16

lilydjwg · **发表于 :** 2016-10-28 20:18

sudo env | grep SUDO

自由建客 · **发表于 :** 2016-10-28 20:26

vickycq, SUDO_UID、SUDO_USER 的确可以。但，如果是通过 su 来运行的，就失效了。
另，我很奇怪，id --real 为何会失效。

附件:

1.png [ 39.35 KiB | 被浏览 824 次 ]

科学之子 · **发表于 :** 2016-10-28 20:54

引用:

不能让调用方通过参数传入，防欺诈。

我想应该可以用MD5之类的方法来防止欺诈
这样除非某用户知道其它用户的"密码"否则无法假冒

自由建客 · **发表于 :** 2016-10-28 20:56

科学之子写道:

引用:

不能让调用方通过参数传入，防欺诈。

我想应该可以用MD5之类的方法来防止欺诈
这样除非某用户知道其它用户的"密码"否则无法假冒

馊主意

vickycq · **发表于 :** 2016-10-28 21:15

自由建客写道:

但，如果是通过 su 来运行的，就失效了。

猜测可能原因 su 进入其它用户的提示符后不会设定环境变量 SUDO_*
可通过 logname 得出之前的用户名。

代码:

$ whoami
vicky
$ su
Password: 
# whoami
root
# logname
vicky

自由建客写道:

另，我很奇怪，id --real 为何会失效。

lilydjwg · **发表于 :** 2016-10-28 22:00

其实能 su 的话，再怎么弄也没用。实在不行，su 成别的用户再 su 回 root。有完整的 root 权限什么手段都能绕过的。
sudo 可以指定只能执行特定的命令，所以才需要能够安全地判断是谁在 sudo。