在OS X中編輯sudoers（10.7）

Question

我有一個腳本（由我的前任編寫），它成功編輯運行OS X 10.6的Mac上的sudoers文件;它是這樣的：

#!/bin/sh 

if [ -z "$1" ]; then 
    export EDITOR=$0 && sudo -E visudo 
else 
    echo "%staff ALL=NOPASSWD: /sbin/shutdown" >> $1 
fi 

然而，當在Mac上運行的運行10.7，而不是添加一行到sudoers文件，它會啓動visudo命令，「交互」。在任何時候它似乎都沒有進入「其他」條款。我懷疑第4行（「export ...」）的適當語法已經改變，但我似乎無法找出如何。任何指針？

由於有人會問：我們有一個詳細的（並且有些愚蠢的，但必然如此）強制重新啓動計劃進行修補。如果用戶在截止日期前沒有重新啓動，應用程序將啓動5分鐘倒計時（或立即重啓選項），此時發出'sudo shutdown -r now'命令。爲了我的理智，請不要要求我捍衛這種安排的性質。這是我無法控制的。

Answer 1

visudo(8)有這樣一段話：

有是visudo命令，將使用設置在編譯時 可以通過編輯sudoers文件默認變量覆蓋一個或多個編輯的硬編碼列表。該列表默認爲 「/ bin/vi」。通常情況下，visudo不會遵守VISUAL或EDITOR環境變量 ，除非它們在上述編輯器列表中包含編輯器。但是，如果使用--with-env-editor選項配置visudo爲 ，或者在 sudoers中設置env_editor默認變量，visudo將使用由VISUAL或EDITOR定義的任何編輯器。請注意，這可能是一個安全漏洞，因爲它允許用戶通過設置 VISUAL或EDITOR來執行他們希望的任何程序。

我懷疑這就是你在這裏遇到的情況。

Answer 2

if [ -z "$1" ];是一種常見的習慣用法，用於檢查是否沒有給出腳本參數。當調用而沒有參數時，腳本將採用第一個路徑，啓動編輯器（在這種情況下，應該是此腳本本身）。 以文件名作爲參數，採用else分支，並且非交互式地在文件中附加一行（在visudo上下文中）。

假設腳本在沒有參數的情況下被外部調用，sudo開始清除EDITOR環境變量，或者（如@twalberg指出的）visudo現在忽略EDITOR。

要修復，調整sudoers文件繼續編輯，要麼允許任何程序的編輯器通過設置env_editor，或腳本（以及任何其他腳本編輯sudoers文件）添加到editor變量。

Defaults env_keep += "EDITOR" 
# UNSAFE 
#Defaults env_editor 
# better 
Defaults editor = "/usr/bin/vi:/path/to/script" # ... possibly more 

如果你不希望這樣做（或不能這樣做，非交互），它是安全的假設，同步編輯不會發生，你可以這樣做以下：

cp -p /etc/sudoers /etc/sudoers.tmp 
echo "%staff ALL=NOPASSWD: /sbin/shutdown" >> /etc/sudoers.tmp 
if visudo -cqf /etc/sudoers.tmp; then 
    mv /etc/sudoers.tmp /etc/sudoers 
else 
    rm /etc/sudoers.tmp 
    echo "update failed" 
fi