L'utilisation de sudo avec un script Python

Je suis en train d'écrire un petit script pour monter une VirtualBox dossier partagé à chaque fois que j'execute le script. Je veux le faire avec Python, parce que je suis en train de l'apprendre pour l'écriture de scripts.

Le problème est que j'ai besoin de privilèges pour le lancement de la commande mount. Je pourrais exécuter le script que sudo, mais je la préfère à faire sudo par son propre.

Je sais déjà qu'il n'est pas sûr d'écrire votre mot de passe dans une .py fichier, mais nous parlons d'une machine virtuelle qui n'est pas critique du tout: je veux juste cliquez sur le .py script et de le faire fonctionner.

C'est ma tentative:

#!/usr/bin/env python
import subprocess

sudoPassword = 'mypass'
command = 'mount -t vboxsf myfolder /home/myuser/myfolder'

subprocess.Popen('sudo -S' , shell=True,stdout=subprocess.PIPE)
subprocess.Popen(sudoPassword , shell=True,stdout=subprocess.PIPE)
subprocess.Popen(command , shell=True,stdout=subprocess.PIPE)

Ma version de python est de 2,6

  • Est-il une raison pour ne pas utiliser /etc/fstab?
  • oui, que je me sers pour apprendre à utiliser python pour ce genre de but
  • vous devez passer le mot de passe sur stdin, voir ce stackoverflow.com/a/165662/894872
  • Si vous ne savez pas ce que vous faites, à éviter shell=True. Si vous ne pouvez pas faire fonctionner les choses, sans elle, savoir ce qu'il fait et comment il fonctionne (et puis vous pouvez généralement).
InformationsquelleAutor Roman Rdgz | 2012-10-24
  1. 30
    sudoPassword = 'mypass'
command = 'mount -t vboxsf myfolder /home/myuser/myfolder'
p = os.system('echo %s|sudo -S %s' % (sudoPassword, command))

    Essayer cela et laissez-moi savoir si cela fonctionne. 🙂

    Et celui-ci:

    os.popen("sudo -S %s"%(command), 'w').write('mypass')

    • C'était ma première tentative quand je l'ai googlé, mais ne fonctionne pas: il me demande le mot de passe à la console au lieu d'entrer sudoPassword valeur directement
    • echo %s convertit l'entrée standard stdin et les tuyaux de la sortie de sudoPassword à commande sudo son stdin. Par conséquent, il doit travailler(et fonctionne ici)
    • J'ai importé les os, puis copie-collé, et ça ne fonctionne pas: arrête pas de demander le mot de passe. En fait, Si je m'attendre, et ne pas écrire n'importe quoi, quand on lui demande de sortie ressemble à code essayé de saisir le mot de passe 3 fois mal, en disant 3 fois "Désolé, essayez de nouveau"
    • essayez la dernière ligne de code que j'ai posté.
    • Même résultat, mais les tentatives de mot de passe mal directement, sans attendre
    • quel est votre mot de passe?
    • ce qui est écrit est variable sudoPassword. Il est composé de 6 lettres minuscules. Rien de bizarre
    • Rdgz: cela met le mot de passe dans la ligne de commande qui peuvent être visibles par les autres utilisateurs. Vous pourriez écrire directement à la sous-processus' stdin sans exécuter l'interpréteur de commandes
    • Vous devriez vraiment ne JAMAIS utiliser une telle ligne os.system('echo %s|sudo -S %s' % (sudoPassword, command)), parce qu'il apporte un trou de sécurité. Par la rédaction de votre mot de passe de commande shell, il devient accessible à travers .bash_history fichier et en exécutant history commande shell. Toujours de passe mot de passe via stdin que c'est plus sécuritaire.
    • Cette réponse a 3 downvotes, et je suis accumulent un autre. Ce code ajoute DEUX vulnérabilités: 1) l'enregistrement du mot de passe dans la table de processus qui aucun autre processus ne peut voir, comme dit ci-dessus, mais aussi 2) injection de shell, que si quelque chose d'autre pour définir ce mot de passe, et il définit à foo$(rm -rf /*)bar ? Voyez-vous le problème avec ça.
    • s'il vous plaît suggérer une solution de rechange alors.
    • la réponse est comme ci-dessous à partir de @jfs. Si vous modifiez les deux vulnérabilités et de le lien dans votre réponse — je vais heureux loin que downvote 🙂

    InformationsquelleAutor Aniket Inge
  2. 50

    De nombreuses réponses se concentrent sur la façon de faire de votre solution de travail, bien que très peu d'suggèrent que votre solution est un très mauvais approche. Si vous voulez vraiment "d'apprendre", pourquoi ne pas le pratiquer à l'aide de bonnes solutions? Coder en dur de votre mot de passe est l'apprentissage de la mal approche!

    Si ce que vous voulez vraiment est un mot de passe de moins en moins mount pour ce volume, peut-être sudo n'est pas nécessaire à tous les! Donc, puis-je suggérer d'autres approches?

    • Utilisation /etc/fstab comme mensi suggéré. Utilisez les options user et noauto de laisser les utilisateurs réguliers montez le volume.

    • Utilisation Polkit pour les actions sans mot de passe: Configurer un .policy fichier pour votre script avec <allow_any>yes</allow_any> et la chute de /usr/share/polkit-1/actions

    • Modifier /etc/sudoers pour permettre à vos utilisateurs d'utiliser sudo sans avoir à taper votre mot de passe.

    Tous les ci-dessus permettent les privilèges de root sans mot de passe, aucun besoin pour vous de coder en dur de votre mot de passe. Choisissez n'importe quelle approche, et je peux l'expliquer plus en détail.

    Comme pour pourquoi c'est une très mauvaise idée de coder en dur les mots de passe, voici quelques liens pour en savoir plus:

    • Le dernier point, modifier sudoers est très bien expliqué dans askubuntu.com/a/155827/42796
    • Il pourrait utile pour les nouveaux arrivants pour vous expliquer pourquoi coder en dur le mot de passe utilisateur est un très mauvaise approche.
    • J'ai supposé que c'était évident pour des raisons de sécurité, mais vous avez raison, pourrait être une bonne idée pour les sensibiliser sur pourquoi. Cela va un peu au-delà de la portée de cette réponse, je vais donc le modifier pour ajouter quelques liens pour en savoir plus.
    InformationsquelleAutor MestreLion
  3. 15

    À passer le mot de passe pour sudos'stdin:

    #!/usr/bin/env python
from subprocess import Popen, PIPE

sudo_password = 'mypass'
command = 'mount -t vboxsf myfolder /home/myuser/myfolder'.split()

p = Popen(['sudo', '-S'] + command, stdin=PIPE, stderr=PIPE,
          universal_newlines=True)
sudo_prompt = p.communicate(sudo_password + '\n')[1]

    Remarque: vous pourriez probablement configurer sudo sans mot de passe ou SUDO_ASKPASS de commande au lieu de coder en dur de votre mot de passe dans le code source.

    • le Popen vous décrire déclenche une erreur can only concatenate list (not “str”) to list je l'ai changé pour Popen(['sudo -S ' + command] - Qui a fonctionné pour moi. Il semble que, au moment de répondre à cette ajoutés à une liste implicitement.. ce qui n'est plus autorisé? ou pris en charge..
    • mal. Regardez le code de la réponse. Il a .split(). Comparer avec votre code.
    • Ohh boy oui. J'ai raté le split() sur la fin.. wow de fin de nuit de codage. J'ai dormi sur elle et a décidé que c'était une mauvaise idée de faire comme ça de toute façon donc aller la route sans mot de passe à la place 😀 je voulais juste quelque chose à travailler et était désespéré
    • Comment voulez-vous résoudre plusieurs commandes par sudo efficacement? Je veux faire les commandes suivantes dans cet ordre: `` sudo mkdir Filestore sudo mount [filestore-info] Filestore sudo chmod 777 Filestore `` 3 commandes sudo
    InformationsquelleAutor jfs
  4. 3

    subprocess.Popen crée un processus et ouvre des tuyaux et des trucs. Ce que vous faites est:

    • Début d'un processus de sudo -S
    • Début d'un processus de mypass
    • Début d'un processus de mount -t vboxsf myfolder /home/myuser/myfolder

    qui n'est évidemment pas d'aller travailler. Vous devez passer les arguments à Popen. Si vous regardez sa documentation, vous remarquerez que le premier argument est en fait une liste d'arguments.

    • Ok, j'obtiens ce que je fais mal, mais je ne pense pas qu'il est possible de passer sudo mot de passe comme argument ici avec des sous-processus.Popen(['sudo', '-S', le mot de passe de commande], shell=True, stdin=sous-processus.PIPE). ALORS, comment puis-je le faire?
    • Regardez le DONC, la question liée
    InformationsquelleAutor mensi
  5. 3

    • Utiliser l'option-S dans la commande sudo qui raconte à lire le mot de passe 'stdin' au lieu du terminal.

    • Dire Popen à lire stdin de la conduite.

    • Envoyer le Mot de passe pour le stdin conduite du processus en l'utilisant comme un argument pour communiquer méthode. Ne pas oublier d'ajouter un caractère de nouvelle ligne, '\n', à la fin du mot de passe.

    sp = Popen(cmd , shell=True, stdin=PIPE)
out, err = sp.communicate(_user_pass+'\n')
    InformationsquelleAutor Hubert Vijay
  6. 2

    J'ai utilisé ce pour python 3.5. Je l'ai fait à l'aide de sous-processus module.En utilisant le mot de passe de ce genre est très insécurité.

    La sous-processus module prend le commandement comme une liste de chaînes de caractères afin de créer une liste à l'avance à l'aide de split() ou de passer l'ensemble de la liste plus tard. Lisez la documentation pour moreinformation.

    #!/usr/bin/env python
import subprocess

sudoPassword = 'mypass'
command = 'mount -t vboxsf myfolder /home/myuser/myfolder'.split()

cmd1 = subprocess.Popen(['echo',sudoPassword], stdout=subprocess.PIPE)
cmd2 = subprocess.Popen(['sudo','-S'] + command, stdin=cmd1.stdout, stdout=subprocess.PIPE)

output = cmd2.stdout.read.decode()
    InformationsquelleAutor Nandesh
  7. 1

    S'il vous plaît essayer module pexpect. Voici mon code:

    import pexpect
remove = pexpect.spawn('sudo dpkg --purge mytool.deb')
remove.logfile = open('log/expect-uninstall-deb.log', 'w')
remove.logfile.write('try to dpkg --purge mytool\n')
if remove.expect(['(?i)password.*']) == 0:
    # print "successfull"
    remove.sendline('mypassword')
    time.sleep(2)
    remove.expect(pexpect.EOF,5)
else:
    raise AssertionError("Fail to Uninstall deb package !")
    InformationsquelleAutor user2951688
  8. 1

    À la limite de ce que vous exécuter en tant qu'sudo, vous pouvez exécuter

    python non_sudo_stuff.py
sudo -E python -c "import os; os.system('sudo echo 1')"

    sans avoir besoin de stocker le mot de passe. Le -E paramètre passe de votre utilisateur courant env dans le processus. Notez que votre shell aura sudo privilèges après la deuxième commande, donc à utiliser avec précaution!

    InformationsquelleAutor crizCraig
  9. 0

    parfois besoin d'un retour chariot: 

    os.popen("sudo -S %s"%(command), 'w').write('mypass\n')
    InformationsquelleAutor user2095717
  10. 0

    Je sais qu'il est toujours préférable de ne pas coder en dur le sudo mot de passe dans le script. Cependant, pour une raison quelconque, si vous n'avez pas la permission de modifier /etc/sudoers ou de changement de propriétaire du fichier, Pexpect est une alternative possible.

    Ici est une fonction Python sudo_exec pour votre référence:

    import platform, os, logging
import subprocess, pexpect

log = logging.getLogger(__name__)

def sudo_exec(cmdline, passwd):
    osname = platform.system()
    if osname == 'Linux':
        prompt = r'\[sudo\] password for %s: ' % os.environ['USER']
    elif osname == 'Darwin':
        prompt = 'Password:'
    else:
        assert False, osname

    child = pexpect.spawn(cmdline)
    idx = child.expect([prompt, pexpect.EOF], 3)
    if idx == 0: # if prompted for the sudo password
        log.debug('sudo password was asked.')
        child.sendline(passwd)
        child.expect(pexpect.EOF)
return child.before
    InformationsquelleAutor Jeremy Kao