Comment utiliser su pour exécuter le reste du script bash en tant qu'utilisateur?


126

J'ai écrit un script qui prend, comme argument, une chaîne qui est une concaténation d'un nom d'utilisateur et d'un projet. Le script est censé basculer (su) vers le nom d'utilisateur, cd vers un répertoire spécifique basé sur la chaîne du projet.

Je veux essentiellement faire:

su $USERNAME;  
cd /home/$USERNAME/$PROJECT;  
svn update;  

Le problème est qu'une fois que je fais un su ... ça attend juste là. Ce qui a du sens puisque le flux d'exécution est passé au passage à l'utilisateur. Une fois que je quitte, le reste des choses s'exécute mais cela ne fonctionne pas comme souhaité.

J'ai ajouté su à la commande svn mais la commande a échoué (c'est-à-dire qu'elle n'a pas mis à jour svn dans le répertoire souhaité).

Comment écrire un script qui permet à l'utilisateur de changer d'utilisateur et d'appeler svn (entre autres)?

Réponses:


86

L'astuce consiste à utiliser la commande "sudo" au lieu de "su"

Vous devrez peut-être ajouter ceci

username1 ALL=(username2) NOPASSWD: /path/to/svn

dans votre fichier / etc / sudoers

et changez votre script en:

sudo -u username2 -H sh -c "cd /home/$USERNAME/$PROJECT; svn update" 

Où username2 est l'utilisateur sous lequel vous souhaitez exécuter la commande SVN et username1 est l'utilisateur exécutant le script.

Si vous avez besoin de plusieurs utilisateurs pour exécuter ce script, utilisez un à la %groupnameplace du nom d'utilisateur1


J'ai un problème similaire, mais je voulais courir chshpour les autres utilisateurs. Mon problème est répertorié ici sur stackoverflow.com/q/15307289/80353 Comment adapter votre réponse à ma situation?
Kim Stacks

Je l'ai fait - mais il m'a quand même demandé un mot de passe.
Hippyjim

@Hippyjim êtes-vous sûr que vous avez bien compris les noms d'utilisateur?
Kimvais

1
Je l'ai fait - il s'est avéré que j'avais également besoin d'autoriser l'utilisation de / bin / bash.
Hippyjim

3
Que vous l'utilisiez sudoou susoit d'importance secondaire, sudoc'est beaucoup plus sûr et pratique.
tripleee

105

Beaucoup plus simple: utilisez sudopour exécuter un shell et utilisez un heredoc pour le nourrir de commandes.

#!/usr/bin/env bash
whoami
sudo -i -u someuser bash << EOF
echo "In"
whoami
EOF
echo "Out"
whoami

(réponse à l' origine sur SuperUser )


5
Cette réponse fonctionnait le mieux. Je recommande d'utiliser l'option -ipour obtenir someuserl'environnement attendu.
not2savvy

2
sudopeut être pratique mais ce n'est pas bon si ce n'est pas prêt à l'emploi (comme sur AIX). su -c 'commands'est la bonne réponse.
Tricky

1
Solution épique!
3bdalla

Comment rendre les variables disponibles dans le périmètre herdoc?
dotslashlu

sous AIX, il renvoie cette erreur ksh: sh: 0403-006 Autorisation d'exécution refusée.
AhmedRana

54

Utilisez un script comme celui-ci pour exécuter le reste ou une partie du script sous un autre utilisateur:

#!/bin/sh

id

exec sudo -u transmission /bin/sh - << eof

id

eof

11
Vous pouvez utiliser "sudo -i -u ..." pour vous assurer que des éléments comme $ HOME sont correctement définis.
Bryan Larsen

Désolé pour la question noob, mais quel est un identifiant ici?
Nitin Jadhav

1
@NitinJadhav, il l'a utilisé ici juste pour montrer l'ID de l'utilisateur actuel, l'ID de root est 0, donc le premier id vous montrera un certain nombre, mais le second affichera définitivement 0 (car le second a été exécuté à l'intérieur un bloc exécuté par root). Vous pouvez utiliser à la whoamiplace de idqui retournera le nom au lieu de l'identifiant
Mohammed Noureldin

@MohammedNoureldin Merci!
Nitin Jadhav

sudopeut être pratique mais ce n'est pas bon si ce n'est pas prêt à l'emploi (comme sur AIX). su -c 'commands'est la bonne réponse.
Tricky

52

Vous devez exécuter toutes les commandes des différents utilisateurs comme leur propre script. S'il ne s'agit que d'une ou de quelques commandes, alors en ligne devrait fonctionner. S'il y a beaucoup de commandes, il est probablement préférable de les déplacer vers leur propre fichier.

su -c "cd /home/$USERNAME/$PROJECT ; svn update" -m "$USERNAME" 

4
C'est la seule bonne réponse. Le sudo n'est pas nécessaire pour cela.
helvete

1
Vous devrez peut-être également fournir à shell su -s /bin/bash.
mixel

meilleure solution pour les utilisateurs root
rfinz

Meilleure réponse pour ceux qui n'ont pas installé sudo par défaut (je vous regarde AIX)
Tricky

46

Voici encore une autre approche, qui était plus pratique dans mon cas (je voulais juste supprimer les privilèges root et faire le reste de mon script à partir d'un utilisateur restreint): vous pouvez faire redémarrer le script à partir de l'utilisateur correct. Supposons qu'il soit exécuté en tant que root au départ. Ensuite, cela ressemblera à ceci:

#!/bin/bash
if [ $UID -eq 0 ]; then
  user=$1
  dir=$2
  shift 2     # if you need some other parameters
  cd "$dir"
  exec su "$user" "$0" -- "$@"
  # nothing will be executed beyond that line,
  # because exec replaces running process with the new one
fi

echo "This will be run from user $UID"
...

6
Je me demande pourquoi ce n'est pas mieux noté. Il résout au mieux la question initiale tout en gardant tout en bash.
SirVer le

Ou runuser -u $user -- "$@", comme indiqué dans su (1)
cghislai

1
exec su "$user" "$0" -- "$@"
macieksk

1
Merci @macieksk, belle prise. Mettra à jour. Le --est vraiment utile.
MarSoft

1
L'approche présentée est la meilleure de toutes et est complète. Tout est écrit dans un seul script, et tout utilise bash. En effet, ce script est exécuté deux fois. Au premier test de script, il est root, puis prépare l'environnement et changez d'utilisateur par su. Mais faites-le avec la commande exec, alors il n'y a qu'une seule instance de script. Avec la deuxième boucle, la phrase if / fi est omise, puis le script effectue directement l'action préparée. Dans cet exemple, c'est un écho. Toutes les autres approches ne résolvent le problème que partiellement. Bien sûr, ce script peut être exécuté sous sh pas bash, mais nous devons tester la variable spéciale $ HOME, pas $ UID
Znik le

7

Utilisez sudoplutôt

EDIT : Comme Douglas a souligné, vous ne pouvez pas utiliser cden sudocar il est pas externe commande. Vous devez exécuter les commandes dans un sous-shell pour faire le cdtravail.

sudo -u $USERNAME -H sh -c "cd ~/$PROJECT; svn update"

sudo -u $USERNAME -H cd ~/$PROJECT
sudo -u $USERNAME svn update

Vous pouvez être invité à saisir le mot de passe de cet utilisateur, mais une seule fois.


Cela ne fonctionnera pas cependant - le cd sera perdu une fois que le premier sudo aura fini de s'exécuter.
Douglas Leeder

En fait, vous ne pouvez même pas appeler cd directement car ce n'est pas une commande externe .
iamamac

sudopeut être pratique mais ce n'est pas bon si ce n'est pas prêt à l'emploi (comme sur AIX). su -c 'commands'est la bonne réponse.
Tricky

6

Il n'est pas possible de changer d'utilisateur dans un script shell. Les solutions de contournement utilisant sudo décrites dans d'autres réponses sont probablement votre meilleur pari.

Si vous êtes assez fou pour exécuter des scripts perl en tant que root, vous pouvez le faire avec les $< $( $> $) variables qui contiennent uid / gid réel / effectif, par exemple:

#!/usr/bin/perl -w
$user = shift;
if (!$<) {
    $> = getpwnam $user;
    $) = getgrnam $user;
} else {
    die 'must be root to change uid';
}
system('whoami');

-1 car il est possible avec sudo d'acquérir temporairement les droits d'autres utilisateurs.
Kimvais

4
Ce n'est pas possible dans le sens où l'utilisateur le script shell lui-même s'exécute comme ne peut pas être changé (ce que la question d'origine a posée). L'appel d'autres processus avec sudo ne change pas la personne sous laquelle le script s'exécute.
P-Nuts

2

Cela a fonctionné pour moi

J'ai séparé mon «approvisionnement» de mon «démarrage».

 # Configure everything else ready to run 
  config.vm.provision :shell, path: "provision.sh"
  config.vm.provision :shell, path: "start_env.sh", run: "always"

puis dans mon start_env.sh

#!/usr/bin/env bash

echo "Starting Server Env"
#java -jar /usr/lib/node_modules/selenium-server-standalone-jar/jar/selenium-server-standalone-2.40.0.jar  &
#(cd /vagrant_projects/myproj && sudo -u vagrant -H sh -c "nohup npm install 0<&- &>/dev/null &;bower install 0<&- &>/dev/null &")
cd /vagrant_projects/myproj
nohup grunt connect:server:keepalive 0<&- &>/dev/null &
nohup apimocker -c /vagrant_projects/myproj/mock_api_data/config.json 0<&- &>/dev/null &

-2

Inspiré par l'idée de @ MarSoft mais j'ai changé les lignes comme suit:

USERNAME='desireduser'
COMMAND=$0
COMMANDARGS="$(printf " %q" "${@}")"
if [ $(whoami) != "$USERNAME" ]; then
  exec sudo -E su $USERNAME -c "/usr/bin/bash -l $COMMAND $COMMANDARGS"
  exit
fi

J'ai l'habitude sudod'autoriser un mot de passe moins l'exécution du script. Si vous souhaitez entrer un mot de passe pour l'utilisateur, supprimez le fichier sudo. Si vous n'avez pas besoin des variables d'environnement, supprimez -Ede sudo.

Le /usr/bin/bash -lgarantit que les profile.dscripts sont exécutés pour un environnement initialisé.


sudopeut être pratique mais ce n'est pas bon si ce n'est pas prêt à l'emploi (comme sur AIX). su -c 'commands'est la bonne réponse.
Tricky

@Tricky Lisez peut-être la réponse complète, cela suggère déjà de supprimer sudo. En fait, sudo n'est pas si simple, dans de nombreux cas, vous avez besoin de même sudo -Eet d'une entrée de configuration dans sudoers.d pour permettre l'exécution sans tty avec !requiretty. Mais il existe de nombreux cas où sudo est nécessaire pour les scripts appelés automatiques, où une boîte de dialogue de mot de passe peut interférer. Ainsi, je ne le retirerais pas d'une solution standard.
Trendfischer

Le code en question est carrément bogué - il cassera les noms de script ou les arguments avec des espaces; gardez à l'esprit que l'insertion "$@"d'une chaîne signifie que les arguments après le premier sont ajoutés dans une chaîne séparée, non incluse dans l' -cargument. Si vous vouliez le rendre sûr, vous pourriez printf -v arg_q '%q ' "$0" "$@"et ensuite utilisersu "$USERNAME" -c "/usr/bin/bash -l $arg_q"
Charles Duffy

@CharlesDuffy Vous avez raison! J'ai trop simplifié mon script de production pour cette réponse :-( Le simple fait d' ajouter a COMMANDARGS=$@résout le problème avec -c. Les arguments avec des espaces n'étaient pas un problème avant, mais j'ai implémenté votre bonne entrée. Je devais juste faire quelques expériences pour que cela fonctionne. Je 'ai édité la question et j'espère que je n'ai pas collé un autre bogue. Merci pour votre commentaire, humiliant mais nécessaire.
Trendfischer
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.