我正在编写一个需要根级权限的脚本,我想让它这样做,如果脚本不是以根身份运行,它只是回显“请以根身份运行”并退出。
下面是我正在寻找的一些伪代码:
if (whoami != root)
then echo "Please run as root"
else (do stuff)
fi
exit
我怎样才能最好地(干净和安全地)完成这个任务呢?谢谢!
啊,只是澄清一下:(做东西)部分将涉及运行本身需要root的命令。因此,作为一个普通用户运行它只会出现一个错误。这只是为了干净地运行一个需要根命令的脚本,而不需要在脚本中使用sudo,我只是在寻找一些语法糖。
当前回答
在这个回答中,我假定读者能够理解bash、zsh等现代shell与dash等便携式POSIX shell之间的区别。
我相信这里没有太多要解释的,因为高投票的答案已经很好地解释了大部分问题。
但是,如果有什么需要进一步解释的,请不要犹豫,我会尽我最大的努力填补空白。
优化的性能和可靠性全方位解决方案;所有外壳兼容
新的解决方案:
# bool function to test if the user is root or not
is_user_root () { [ "${EUID:-$(id -u)}" -eq 0 ]; }
基准测试(保存到文件is_user_root__benchmark)
#+------------------------------------------------------------------------------+
#| is_user_root() benchmark |
#| "Bash is fast while Dash is slow in this" |
#| Language: POSIX shell script |
#| Copyright: 2020-2021 Vlastimil Burian |
#| M@il: info[..]vlastimilburian[..]cz |
#| License: GPL 3.0 |
#| Version: 1.2 |
#+------------------------------------------------------------------------------+
readonly iterations=10000
# intentionally, the file does not have an executable bit, nor it has a shebang
# to use it, just call the file directly with your shell interpreter like:
# bash is_user_root__benchmark ## should take a fraction of one second
# dash is_user_root__benchmark ## could take around 10 seconds
is_user_root () { [ "${EUID:-$(id -u)}" -eq 0 ]; }
print_time () { date +"%T.%2N"; }
print_start () { printf '%s' 'Start : '; print_time; }
print_finish () { printf '%s' 'Finish : '; print_time; }
printf '%s\n' '___is_user_root()___'; print_start
i=1; while [ "$i" -lt "$iterations" ]; do
is_user_root
i=$((i+1))
done; print_finish
使用和持续时间的例子:
$ dash is_user_root__benchmark
___is_user_root()___
Start : 03:14:04.81
Finish : 03:14:13.29
$ bash is_user_root__benchmark
___is_user_root()___
Start : 03:16:22.90
Finish : 03:16:23.08
解释
由于读取$EUID标准bash变量(有效的用户ID号)要比执行ID -u命令以POSIX-ly方式查找用户ID快许多倍,因此该解决方案将两者结合到一个包装良好的函数中。当且仅当$EUID由于某种原因不可用时,将执行id -u命令,以确保在任何情况下都能获得正确的返回值。
为什么我在OP问了这么多年之后才发布这个解决方案
好吧,如果我没看错的话,上面似乎确实少了一段代码。
你看,有许多变量必须考虑在内,其中之一是结合性能和可靠性。
便携式纯POSIX解决方案+上述函数的使用示例
#!/bin/sh
# bool function to test if the user is root or not (POSIX only)
is_user_root ()
{
[ "$(id -u)" -eq 0 ]
}
if is_user_root; then
echo 'You are the almighty root!'
# You can do whatever you need...
else
echo 'You are just an ordinary user.' >&2
exit 1
fi
结论
尽管您可能不喜欢它,但Unix / Linux环境已经变得非常多样化。这意味着有些人非常喜欢bash、zsh和其他现代shell,他们甚至不会考虑可移植性(POSIX)。如今,这是个人选择和需要的问题。
其他回答
如果脚本确实需要根访问权限,那么它的文件权限应该反映这一点。非根用户可执行根脚本将是一个危险信号。我建议您不要使用if检查来控制访问。
chown root:root script.sh
chmod u=rwx,go=r script.sh
我的小笑话:
if [ "$(id -u)" -ne 0 ]; then echo "Please run as root." >&2; exit 1; fi
需要注意的是,无论何时使用sudo运行脚本,“用户上下文”或环境都会切换到根目录。
但是特奥,这意味着什么?
好吧,我年轻的学徒,这意味着如果学徒用户使用sudo运行一个包含波浪号(~)的脚本,无论何时bash将展开~,结果将是/root而不是/home/<用户>(即,在这种情况下,/home/padawan),或者如果您创建一个目录或文件,所有者和组将是root,而不是执行脚本的人在这种情况下padawan,因为用户环境被切换了。
例如,让我们检查这个脚本install-app.sh:
#!/bin/bash
ROOT_UID=0 # Only users with $UID 0 have root privileges.
E_NOTROOT=87 # Non-root exit error.
## Prevent the execution of the script if the user has no root privileges
if [ "${UID:-$(id -u)}" -ne "$ROOT_UID" ]; then
echo 'Error: root privileges are needed to run this script'
exit $E_NOTROOT
fi
...
mkdir -vp ~/app/init
touch config
...
touch /home/<user>/app/init/profile
service mysql start
...
如果我们使用sudo运行:
sudo install-app.sh
这将创建目录,配置文件将如下所示:
##
## ~ (/root)
drwxr-xr-x 17 root root 4096 Nov 23 20:45 ./
drwxr-xr-x 5 root root 4096 Nov 15 19:04 ../
...
drwxr-xr-x 3 root root 4096 Nov 25 14:30 app/
...
drwxr-xr-x 2 root root 4096 Nov 16 19:08 tmp/
## ~/app (/root/app)
drwxr-xr-x 3 root root 4096 Nov 25 14:30 ./
drwxr-xr-x 17 root root 4096 Nov 25 14:33 ../
drwxr-xr-x 2 root root 4096 Nov 25 14:33 init/
## ~/app/init (/root/app/init)
drwxr-xr-x 2 root root 4096 Nov 25 14:33 ./
drwxr-xr-x 3 root root 4096 Nov 25 14:30 ../
-rw-r--r-- 1 root root 0 Nov 25 14:33 config
## /home/<user>/app/conf
drwxr-xr-x 2 <user> <user> 4096 Nov 25 14:43 ./
drwxr-xr-x 3 <user> <user> 4096 Nov 25 14:30 ../
-rw-r--r-- 1 root root 0 Nov 25 14:43 profile
正如你所知,剧本简直一团糟。现在<用户>不能访问配置文件,也不能在没有sudo的情况下修改配置。一开始可能是不重要的,但相信我,如果你的项目变大了,有人会运行脚本,弄乱你的系统。
建议
我的建议是:请求用户验证是否是sudoer。然后,将sudo添加到需要它的命令中。
将这些更改应用到脚本将如下所示:
#!/bin/bash
E_NOTROOT=87 # Non-root exit error.
## Prevent the execution of the script if the user has no root privileges
## Check if is sudoer
if ! $(sudo -l &>/dev/null); then
echo 'Error: root privileges are needed to run this script'
exit $E_NOTROOT
fi
...
mkdir -vp ~/app/init
touch config
...
touch /home/<user>/app/init/profile
sudo service mysql start
...
这个修改允许用户像这样运行脚本:
install-app.sh
用户将被要求插入他的密码,以验证是否是sudoer。之后,mkdir -vp ~/app/init将在用户的home中创建文件:
/home/<user>/app/init
/home/<user>/app/init/config
/home/<user>/app/init/profile
此外,我建议获取用户的荷马目录并将其用作常量。
## Defines user home directory
USER_HOME_DIR=$(getent passwd ${SUDO_USER:-$USER} | cut -d: -f6)
...
mkdir -vp "$USER_HOME_DIR/app/init"
...
已经给出了一些答案,但似乎最好的方法是使用:
id - u 如果以root身份运行,将返回id为0。
这似乎比其他方法更可靠,即使通过sudo运行脚本,它似乎也会返回一个id为0。
让脚本只能由root用户运行的一个简单方法是使用shebang启动脚本:
#!/bin/su root
