Чи може програма сказати, що вона працює під sudo?

У мене є програма, яка повинна поводитись інакше, якщо вона запускається під "судо". Чи є спосіб це дізнатись, чи був він запускається під судо?

Оновлення: хтось запитав, чому я хочу це зробити? У цьому випадку на Mac, що використовує MacPorts, є вихід, який підказує вам вирізати та вставити певну команду. Якщо команда MacPorts виконувалася із "sudo", вона повинна включати sudo у зразок команди:

$ sudo port selfupdate 
--->  Updating MacPorts base sources using rsync
MacPorts base version 2.2.1 installed,
MacPorts base version 2.2.1 downloaded.
--->  Updating the ports tree
--->  MacPorts base is already the latest version

The ports tree has been updated. To upgrade your installed ports, you should run
  port upgrade outdated

^^^^^^^^^ it would be really sweet if it output "sudo port upgrade outdated" instead.  It would be even better if it just did it for you :-)

Так, під час запуску програми під sudo встановлено 4 змінні середовища:

$ sudo env |grep SUDO
SUDO_COMMAND=/usr/bin/env
SUDO_USER=tal
SUDO_UID=501
SUDO_GID=20

Зауважте, що їх можна підробити, просто встановивши їх. Не вірте їм нічого критичного.

Наприклад: У цій програмі нам потрібно сказати користувачу запустити якусь іншу програму. Якщо поточний був запущений із судо, інший теж буде.

#!/bin/bash

echo 'Thank you for running me.'

if [[ $(id -u) == 0 ]]; then
  if [[ -z "$SUDO_COMMAND" ]]; then
    echo 'Please now run: next_command'
  else
    echo 'Please now run: sudo next_command'
  fi
else  echo 'Error: Sadly you need to run me as root.'
  exit 1
fi

Зауважте, що він тестує лише змінну SUDO_ *, якщо спочатку може довести, що вона працює як root. Навіть тоді він використовує його лише для зміни корисного тексту.

Це не відповідає на питання безпосередньо, але я не думаю, що тут задають правильне питання. Мені здається, що запитувач хоче, щоб програма, яка діятиме інакше, мабуть, якщо вона має певні дозволи чи ні, однак я б стверджував, що перевірка судо - це не спосіб це зробити. По-перше, багато систем можуть не реалізувати "sudo", це ні в якому разі не потрібно для Linux або багатьох Unixes.

Наприклад, користувач може вже увійти до системи як root, що робить sudo безглуздим, або, можливо, у системі є некористувальні користувачі, які все ще мають можливості виконувати адміністративне завдання, яке, можливо, захоче виконати програма. Нарешті, можливо, система взагалі не має root або sudo, а натомість використовує обов'язкову систему управління доступом з різними можливостями, і не може спіймати всіх суперпользователей, щоб вступити в судо. Або користувач може бути призначений для суду, але в обліковий запис, який не має дозволів, ніж їх власний обліковий запис, з міркувань безпеки (я часто запускаю недовірений код з тимчасовим непривілейованим користувачем, який може писати лише на ramdisks для того, щоб скасувати, а не підвищувати мої дозволи ). Загалом погана ідея припускати таку модель дозволів, як sudo або існування root, або припускати, що користувач sudoed має певні привілеї.

Якщо ви хочете дізнатися, чи є у вас дозволи на виконання операції, найкращий спосіб - це просто спробувати виконати це, тоді перевірте помилку errno на наявність дозволів, якщо вона не працює, або якщо це багатоетапна операція, яка повинна або всі вийти з ладу, або все вдасться Ви можете перевірити, чи буде діяти така функція, як функція доступу POSIX (остерігайтеся можливих умов гонки тут, якщо дозволи активно змінюються)

Якщо на додаток вам потрібно знати реального користувача, що стоїть за судо, ви можете використовувати функцію getlogin, яка повинна працювати для будь-якого інтерактивного сеансу з базовим терміналом і дозволяє вам, наприклад, дізнатися, хто «насправді» виконує команду для аудиту, або знайти домашній каталог реального користувача для збереження журналів.

Нарешті, якщо ви дійсно хочете дізнатися, чи має користувач доступ до кореня (все-таки погана ідея, але менш специфічна для реалізації), ви можете скористатися getuid, щоб перевірити наявність uid 0 та, таким чином, root.

Є два механізми, які можна використовувати.

• Перевірка змінних оточуючих середовищ може бути підробленою будь-яким способом, але це найлегше зробити. growisofsне любить працювати під SUDO, тому я скидаю змінні SUDO в скриптах, де я його використовую. Його можна підробити і в інший спосіб. (Змінна SUDO також переноситься в середовище для сценаріїв, що виконуються під командами at і batch.)
• Ще один спосіб дізнатися, чи працюєте ви під судо - це перейти до списку процесів від вашого батьківського процесу, шукаючи судо. Важко було б приховати, що ти так бігав під судо, але це складніше. Ще можна підробити, що ти працюєш під судо.

Частіше перевіряється, чи працює ви як відповідний користувач. Для цього idможна використовувати команду. Сценарій TomOnTime використовує idкоманду, щоб визначити, чи sudoможе знадобитися наступна команда.

Ви можете порівняти ефективний і реальний ідентифікатор користувача.

Це не зовсім означає, що він працює з скасуванням sudo (може бути також налаштовано), але вказує на те, що програма має більше прав, ніж може очікувати користувач. (наприклад, у програмі, яка зазвичай виконується без таких прав, але її потрібно запускати з ними під час встановлення або для встановлення оновлень. Потім ви можете скористатися цим, щоб дати попередження про це).

Ви можете перевірити ефективну змінну UID (EUID) таким чином:

if [[ $EUID -eq 0 ]]; then
    echo "running as root"
else
    echo "not running as root"
fi

Ви можете торкнутися файлу в ньому, /rootа потім if -eйого. І якщо -e вірно, rm(перевірка коду помилки), то ваш тест працює наступного разу.

Перевірка коду помилки (або повернення коду) після rm не дозволяє комусь зручно використовувати повноваження sudo, щоб створити файл для відтворення на вас шахрайства.

Я виявив, що це добре працює для цього

[ $(cat /proc/$PPID/loginuid) -ne 0 ] && [ "$USER" == "root" ]