我正在编写一个需要根级权限的脚本,我想让它这样做,如果脚本不是以根身份运行,它只是回显“请以根身份运行”并退出。

下面是我正在寻找的一些伪代码:

if (whoami != root)
  then echo "Please run as root"

  else (do stuff)
fi

exit

我怎样才能最好地(干净和安全地)完成这个任务呢?谢谢!

啊,只是澄清一下:(做东西)部分将涉及运行本身需要root的命令。因此,作为一个普通用户运行它只会出现一个错误。这只是为了干净地运行一个需要根命令的脚本,而不需要在脚本中使用sudo,我只是在寻找一些语法糖。


当前回答

在bash脚本中,有几种方法可以检查正在运行的用户是否是root用户。

作为警告,不要使用root用户名检查用户是否为root。没有什么能保证ID为0的用户被称为root。这是一个被广泛遵循的强大约定,但任何人都可以为超级用户重命名其他名称。

我认为使用bash时最好的方法是使用$EUID,从手册页:

EUID   Expands to the effective user ID of the current  user,  initialized
       at shell startup.  This variable is readonly.

这是一种比$UID更好的方法,因为$UID可以更改,并且不能反映运行脚本的真实用户。

if (( $EUID != 0 )); then
    echo "Please run as root"
    exit
fi

我解决这类问题的一种方法是,当我的命令不是以root身份运行时,在命令中注入sudo。这里有一个例子:

SUDO=''
if (( $EUID != 0 )); then
    SUDO='sudo'
fi
$SUDO a_command

这样,当使用超级用户时,我的命令由root运行,当由普通用户运行时,由sudo运行。

如果您的脚本总是由根用户运行,只需相应地设置权限(0500)。

其他回答

id -u比whoami要好得多,因为Android等系统可能不提供root这个词。


示例命令:

# whoami

示例输出:

whoami: unknown uid 0

我检查的根用户,运行在Bash:

#!/bin/bash

if [ "$UID" -eq 0 ]; then
    echo "You are root."
else
    echo "You are just an ordinary user." >&2
fi

检查你是否是root用户,如果不是就退出:

if ((EUID != 0)); then
    echo "Root or Sudo  Required for script ( $(basename $0) )"
    exit
fi

或者在本例中,尝试在根位置创建目录,然后在提升权限后再尝试。

检查你是否是root,如果可能的话,如果不是elevate:

# Fails to create these dirs (needs sudo)
mkdir /test-dir-$(basename $0)
rmdir /test-dir-$(basename $0)

if ((EUID != 0)); then
    echo "Granting root privileges for script ( $(basename $0) )"
    if [[ -t 1 ]]; then
        sudo "$0" "$@"
    else
        exec 1> output_file
        gksu "$0" "$@"
    fi
    exit
fi
echo "Root privileges granted..."
# Creates Dirs as it now has rights
mkdir /test-dir-$(basename $0)
rmdir /test-dir-$(basename $0)

需要注意的是,无论何时使用sudo运行脚本,“用户上下文”或环境都会切换到根目录。

但是特奥,这意味着什么?

好吧,我年轻的学徒,这意味着如果学徒用户使用sudo运行一个包含波浪号(~)的脚本,无论何时bash将展开~,结果将是/root而不是/home/<用户>(即,在这种情况下,/home/padawan),或者如果您创建一个目录或文件,所有者和组将是root,而不是执行脚本的人在这种情况下padawan,因为用户环境被切换了。

例如,让我们检查这个脚本install-app.sh:

#!/bin/bash
ROOT_UID=0   # Only users with $UID 0 have root privileges.
E_NOTROOT=87 # Non-root exit error.

## Prevent the execution of the script if the user has no root privileges
if [ "${UID:-$(id -u)}" -ne "$ROOT_UID" ]; then
    echo 'Error: root privileges are needed to run this script'
    exit $E_NOTROOT
fi
...
mkdir -vp ~/app/init
touch config
...
touch /home/<user>/app/init/profile
service mysql start
...

如果我们使用sudo运行:

sudo install-app.sh

这将创建目录,配置文件将如下所示:

##
## ~ (/root)
drwxr-xr-x 17 root root    4096 Nov 23 20:45 ./
drwxr-xr-x  5 root root    4096 Nov 15 19:04 ../
...
drwxr-xr-x  3 root root    4096 Nov 25 14:30 app/
...
drwxr-xr-x  2 root root    4096 Nov 16 19:08 tmp/

## ~/app (/root/app)
drwxr-xr-x  3 root root 4096 Nov 25 14:30 ./
drwxr-xr-x 17 root root 4096 Nov 25 14:33 ../
drwxr-xr-x  2 root root 4096 Nov 25 14:33 init/

## ~/app/init (/root/app/init)
drwxr-xr-x 2 root root 4096 Nov 25 14:33 ./
drwxr-xr-x 3 root root 4096 Nov 25 14:30 ../
-rw-r--r-- 1 root root    0 Nov 25 14:33 config

## /home/<user>/app/conf
drwxr-xr-x 2 <user> <user> 4096 Nov 25 14:43 ./
drwxr-xr-x 3 <user> <user> 4096 Nov 25 14:30 ../
-rw-r--r-- 1 root   root      0 Nov 25 14:43 profile

正如你所知,剧本简直一团糟。现在<用户>不能访问配置文件,也不能在没有sudo的情况下修改配置。一开始可能是不重要的,但相信我,如果你的项目变大了,有人会运行脚本,弄乱你的系统。

建议

我的建议是:请求用户验证是否是sudoer。然后,将sudo添加到需要它的命令中。

将这些更改应用到脚本将如下所示:

#!/bin/bash
E_NOTROOT=87 # Non-root exit error.

## Prevent the execution of the script if the user has no root privileges
## Check if is sudoer
if ! $(sudo -l &>/dev/null); then
    echo 'Error: root privileges are needed to run this script'
    exit $E_NOTROOT
fi
...
mkdir -vp ~/app/init
touch config
...
touch /home/<user>/app/init/profile
sudo service mysql start
...

这个修改允许用户像这样运行脚本:

install-app.sh

用户将被要求插入他的密码,以验证是否是sudoer。之后,mkdir -vp ~/app/init将在用户的home中创建文件:

/home/<user>/app/init
/home/<user>/app/init/config
/home/<user>/app/init/profile

此外,我建议获取用户的荷马目录并将其用作常量。

## Defines user home directory
USER_HOME_DIR=$(getent passwd ${SUDO_USER:-$USER} | cut -d: -f6)
...
mkdir -vp "$USER_HOME_DIR/app/init"
...

使用:id -u, $EUID和whoami的问题是,当我伪造根时,它们都给出了假阳性,就像这样:

$ fakeroot

id:

$ id -u
0

$ EUID:

$ echo $EUID
0

显示本用户信息:

$ whoami
root

那么一个可靠的(和黑客)方法是验证用户是否有权访问/根目录:

$ ls /root >/dev/null 2>&1 && is_root=true || is_root=false; echo "$is_root"