Làm thế nào để tôi thực hiện sudo bảo vệ các biến môi trường của tôi?

Sử dụng sudo 1.7.4p4 trên Solaris 5.10 và sudo 1.6.7p5 trên RHEL4 u6 Tôi không thể thấy cách bảo tồn các biến môi trường của mình, ví dụ $ PYTHONPATH. Tôi đã thêm dòng này vào sudoers, nhưng nó không tạo ra sự khác biệt nào:

Defaults !env_reset

Tôi đang làm gì đó sai, hay cài đặt sudo đơn giản là không tôn trọng cờ env_reset?

Chỉnh sửa: Ít nhất là trên Solaris, chúng tôi thấy rằng vấn đề này phụ thuộc vào vỏ! Vỏ gốc tiêu chuẩn là Bourne, mặt khác, nếu chúng ta chạy bash dưới sudo ( sudo bash), thì env_preset sẽ bảo vệ môi trường (bao gồm cả PATH và LD_LIBRARY_PATH). Đây là hành vi khá khó hiểu tôi phải nói.

Sử dụng cẩn thận, có vấn đề bảo mật với sudo và các biến.

Từ man sudoerstôi thấy rằng bạn nên sử dụng

Mặc định env_reset
Mặc định env_keep + = "PYTHONPATH YETANOTHER KHÁC"

Trong Ubuntu, sudokhông bảo tồn một số biến. sudo -igiống như đăng nhập bằng root và sau đó chạy lệnh. Cả hai có thể bất tiện, trước đây để sudo nano myfilelại các tập tin thuộc sở hữu gốc trong nhà của bạn và sau này sudo -i nano myfilesẽ cố gắng mở / root / myfile.

Chạy

sudo printenv PATH

và xem những gì nó mang lại. Nó ở đây

/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/X11R6/bin

ví dụ. Bây giờ chạy sudo visudovà thêm dòng

Defaults        secure_path=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/X11R6/bin

thay thế bởi những gì bạn tìm thấy trước đây. Nối một đường dẫn mới vào nó nếu bạn cần.

Về thư viện:

sudo LD_LIBRARY_PATH=/usr/lib/path/to/a/safe/library your command

Các bản phân phối Linux rất quan tâm PATHvà bạn thực sự nên cẩn thận trước khi chơi với nó. Đặc biệt cẩn thận về việc thêm các đường dẫn như " ." hoặc /home/username, nó không an toàn.

Một trong những mối nguy hiểm của việc thêm đường dẫn là nó mở ra khả năng các tệp trên các đường dẫn này được thực thi bằng cách rootmở một cửa sổ trong bảo mật hệ thống có thể bị phần mềm độc hại khai thác. Có thể có những nguy hiểm khác. Chỉ cần chắc chắn rằng bạn biết những gì bạn đang làm. Bỏ qua sudocác biện pháp bảo mật có thể khiến Solaris của bạn an toàn như Windows XP.

Đấu tranh với sudoerslà phải được thực hiện một cách thận trọng, như những người khác đã nói.

Một cách tiếp cận đơn giản hơn cho các trường hợp đơn giản hơn khi có các biến môi trường cụ thể mà bạn muốn bảo tồn là chỉ truyền biến môi trường mà bạn muốn trực tiếp thông qua sudo (điều này được thể hiện như [VAR=value]trong trợ giúp cmdline sudo).

Xem ví dụ nhỏ này, nơi tôi cũng đã chứng minh nó cho nhiều hơn một biến.

$ export MY_V1=1
$ export MY_V2=2
$ printenv | grep MY_V
MY_V2=2
MY_V1=1
$ sudo MY_V1=$MY_V1 MY_V2=$MY_V2 printenv | grep MY_V
MY_V2=2
MY_V1=1

Đối với PYTHONPATHví dụ ban đầu trong câu hỏi, chỉ cần sử dụng như sau:

$ sudo PYTHONPATH=$PYTHONPATH python some_script.py
<script_output_here>

Tạo một bí danh cho loại điều này là tiện dụng. Thích như vậy:

$ alias sudopy='sudo PYTHONPATH=$PYTHONPATH python'

Ngoại hình của bạn Defaults !env_resetổn, giả sử bạn không gọi sudo bằng -Etùy chọn.

Bạn có thể thử loại bỏ hoàn toàn mục đó.

Bạn đã xác minh bạn đang chỉnh sửa tệp sudoers chính xác chưa? Tôi đoán nó có thể /etc/sudoershoặc /usr/local/etc/sudoerstùy thuộc vào cách nó được cài đặt. Bạn đã chỉnh sửa nó bằng cách sử dụng visudo?

Làm thế nào bạn đang chạy sudo? sudo python, sudo su, sudo su -, sudo -s, Cái gì khác? Chỉ sudo pythonvà sudo susẽ bảo vệ môi trường của bạn.

Nó env | grep PYTHONPATHnói gì Nếu không có gì, hãy đảm bảo PYTHONPATH được xuất bằng cách chạy export PYTHONPATHvà thử lại.

Nó sudo env | grep PYTHONPATHnói gì Nếu nó in giá trị mong đợi, thì một cái gì đó khác sẽ ghi đè lên giá trị PYTHONPATH của bạn. Có thể root .bashrc hoặc .bash_profile hoặc các tệp cấu hình trên toàn hệ thống.

Theo tài liệu Ubuntu cho LD_LIBRARY_PATH :

Bạn phải sử dụng tập tin cấu hình /etc/ld.so.conf.d/*.conf

Sau đó:

1. Thêm một ld.sotệp cấu hình /etc/ld.so.conf.d/với đường dẫn của bạnLD_LIBRARY_PATH

2. Cập nhật bộ đệm với:

   sudo ldconfig -v