Pourquoi ne sudo modifier le CHEMIN d'accès?

C'est le PATH variable sans sudo:

$ echo 'echo $PATH' | sh 
/opt/local/ruby/bin:/usr/bin:/bin

C'est le PATH variable avec sudo:

$ echo 'echo $PATH' | sudo sh
/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/X11R6/bin

Aussi loin que je peux dire, sudo est censé quitter PATH intacte. Ce qui se passe? Comment puis-je changer cela? (C'est sur Ubuntu 8.04).

Mise à JOUR: aussi loin que je peux voir, aucun des scripts lancé en tant que root changement PATH en aucune façon.

De man sudo:

Pour éviter de commande d'usurpation d'identité, sudo
vérifications `." et `" (à la fois la dénotation de l'
répertoire courant) dernier lors de la recherche
pour une commande dans le parcours utilisateur (si
l'un des deux ou les deux sont dans le CHEMIN d'accès). Note,
cependant, que le CHEMIN d'accès réel
variable d'environnement n'est pas modifié
et est adopté sans modification du programme
sudo exécute.

Ne la racine de tout ce qui définit le CHEMIN d'accès dans .bashrc? C'est à supposer que, puisque vous êtes sur Linux, sh est vraiment bash.
unix.stackexchange.com/questions/83191/... || unix.stackexchange.com/questions/8646/... || superuser.com/questions/98686/passing-path-through-sudo

InformationsquelleAutor Michiel de Mare | 2008-11-03

236

C'est ~~une fâcheuse de la fonction~~ une fonction sudo sur de nombreuses distributions.

Pour contourner ce "problème" sur ubuntu je ne
la suite dans mon ~/.bashrc
```
alias sudo='sudo env PATH=$PATH'
```
Remarque ci-dessus va travailler pour les commandes qui ne sont pas réinitialiser le $PATH eux-mêmes.
Cependant " su " réinitialise la variable d'environnement $PATH, vous devez donc utiliser -p pour lui dire de ne pas. I. E.:
```
sudo su -p
```
- Cette "ennuyeux fonction" ne vous empêche de récupérer trojaned. Je dis forçant un spécifique $PATH) est une fonction, pas un bug--- - - cela fait de vous écrire le chemin d'accès complet à un programme qui est en dehors de l' $PATH.
- Ouais, mais c'est totalement contre-intuitif. C'est probablement fous les bons gars plus que les méchants.
- Je suis confus. Chris, voulez-vous dire, "cela fait de vous écrire le chemin d'accès complet à un programme qui est à l'intérieur $PATH" ? Ou voulez-vous dire "...qui est en dehors de la valeur par défaut/secure $PATH" ?
- Non seulement est-il contraire à l'intuition, c'est mal documentée. Lire les pages man pour sudo, et en comparant la config à l'encontre d'un Fedora boîte, je pensais que le chemin d'accès doit être préservée. En effet, "sudo -V" a même dit "variables d'Environnement à préserver: CHEMIN d'accès".
- Cette réponse ne fonctionne plus (ubuntu 9.10, la karmic koala un). S'il vous plaît, de mise à jour!
- Le dernier. (Désolé, je n'ai pas été averti de votre réponse, sans doute parce qu'il n'a pas commencé avec "@Chris"; je ne savais que le sujet parce que ce fil a été mentionné dans le chat dernièrement.)
- tremens: je suis en cours d'exécution 10.10 et il a FAIT un travail.
- Notez que cet alias sera à vis certaines choses, telles que "sudo -s"
- c'est embêtant. période. si elle pouvait obtenir vous trojaned " par sudo, il pourrait obtenir vous trojaned la même sans elle. accordé, plus difficile, mais si vous exécutez du code de la mauvaise place, même avec votre utilisateur régulier, alors les choses sont déjà assez mauvais.
- ouais, la documentation annonces insulte à l'ennui. c'est pourquoi je respecte openBSD pour le traitement de la documentation comme le code. cela aurait été d'un bug bloquant là. sur ubuntu...
- Ne pas alias sudo; voir la réponse de @Jacob sur les valeurs par Défaut env_reset.
- Cet alias est l'aide de l'onu cité variable de substitution qui s'exécute en tant que root. (il est également à l'origine de deux inutiles fourche/execs de chaque commande que vous exécutez avec elle), Même si la sécurité n'est pas important sur votre zone, il se sent juste mal pour moi. Voir la solution à l'aide !secure_path et env_keep.
- Pourquoi est-ce voté #1? Cette réponse ne répond pas à l'OP sur la question de savoir pourquoi sudo modifie le chemin d'accès, et il fournit une douteuse "solution", sans expliquer les inconvénients potentiels! L'utilité de cette fonction est par opinion, et devrait être en place au lecteur d'en décider donné un estimateur sans biais de la liste des avantages et des inconvénients.
InformationsquelleAutor pixelbeat
119

Dans le cas où quelqu'un d'autre s'écoule à travers cette et veut juste désactiver toutes les variable de chemin d'accès de changer pour tous les utilisateurs.

Accéder à votre fichier sudoers par l'aide de la commande:visudo. Vous devriez voir la ligne suivante quelque part:

Par défaut env_reset

qui vous devez ajouter le suivant sur la ligne suivante

Par défaut !secure_path

secure_path est activé par défaut. Cette option spécifie ce qu'il faut faire $CHEMIN quand sudoing. Le point d'exclamation désactive la fonction.
- d'une autre manière: Defaults env_keep = "PATH"
- Par défaut !secure_path a très bien fonctionné pour moi sur les systèmes modernes; sur un vieux ubuntu 8.04 zone, les valeurs par Défaut env_keep = "CHEMIN" a fait le tour.
- Au lieu de désactiver la secure_path vous pouvez ajouter à cela. Par exemple dans mon cas, j'ai ajouté la ligne "paramètres par Défaut secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/certains/custom/répertoire" où "certains/custom/répertoire" est le chemin que je devais mettre à la disposition de sudo.
- la solution est la meilleure façon de l'OMI.
InformationsquelleAutor Jacob

PATH est une variable d'environnement, et en tant que tel est par défaut réinitialisation par sudo.

Vous avez besoin de permissions spéciales pour être autorisé à le faire.

De man sudo

 -E Le -E (préserver l'environnement) option va se substituer à la env_reset 
option dans sudoers(5)). Il est disponible uniquement lorsque le match 
ing commande SETENV balise ou la setenv option est définie dans sudo- 
ers(5).

 Variables d'environnement à définir pour la commande peut également être transmis 
la ligne de commande dans le formulaire de VAR=valeur, par exemple 
LD_LIBRARY_PATH=/usr/local/pkg/lib. Les Variables passées sur la commande 
ligne sont soumis aux mêmes restrictions que l'environnement normal vari- 
ables avec une exception importante. Si le setenv option est définie dans 
sudoers, la commande à exécuter est la SETENV tag set ou sur la commande 
appariés est TOUT, l'utilisateur peut définir des variables qui serait overwise être pour- 
conviés. Voir sudoers(5) pour plus d'informations.

Un Exemple d'utilisation:

cat >> test.sh
env | grep "MYEXAMPLE" ;
^D

sh test.sh 
MYEXAMPLE=1 sh test.sh
# MYEXAMPLE=1
MYEXAMPLE=1 sudo sh test.sh 
MYEXAMPLE=1 sudo MYEXAMPLE=2 sh test.sh 
# MYEXAMPLE=2

mise à jour

homme 5 sudoers : 

env_reset Si elle est définie, la commande sudo permet de rétablir l'environnement contiennent uniquement 
le LOGNAME, le SHELL de l'UTILISATEUR, nom d'utilisateur et le SUDO_* vari- 
ables. Toutes les variables à l'appelant de l'environnement qui 
match de la env_keep et env_check listes sont ensuite ajoutés. 
Le contenu par défaut de la env_keep et env_check 
les listes sont affichées lorsque sudo est exécuté par root avec l' 
L'option-V. Si sudo a été compilé avec le SECURE_PATH 
option, sa valeur sera utilisée pour l'environnement PATH 
variable. Ce drapeau est activé par défaut.

Donc peut-être besoin de vérifier que c'est/n'est pas compilé.

Il est par défaut dans Gentoo

# ( From the build Script )
....
ROOTPATH=$(cleanpath /bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/opt/bin${ROOTPATH:+:${ROOTPATH}})
....
econf --with-secure-path="${ROOTPATH}"

InformationsquelleAutor Kent Fredric

17

Ressemble à ce bogue a été autour pendant un bon moment! Voici quelques corrections de références, vous trouverez peut-être utile (et pouvez vous abonner à /de voter, indice, indice...):

Debian bug #85123 ("sudo: SECURE_PATH ne peut pas toujours être remplacée") (à partir de 2001!)

Il semble que le Bug#20996 est toujours présent dans cette version de sudo. L'
changelog dit qu'elle peut être remplacée au moment de l'exécution, mais je n'ai pas encore
découvert comment.

La mention de mettre quelque chose comme ceci dans votre fichier sudoers:
```
Defaults secure_path="/bin:/usr/bin:/usr/local/bin"
```
mais quand je fais ça dans Ubuntu 8.10 au moins, il me donne cette erreur:
```
visudo: unknown defaults entry `secure_path' referenced near line 10
```
Ubuntu bug #50797 ("sudo construit avec --with-secure-chemin d'accès est problématique")
Pire encore, autant que je peux dire, c'
est impossible de respécifier secure_path
dans le fichier sudoers. Donc, si, pour
exemple, vous souhaitez offrir à vos utilisateurs
facile d'accès à quelque chose dans /opt,
vous devez recompiler sudo.

Oui. Il y besoins être un moyen de
remplacer cette "fonctionnalité" sans avoir
pour recompiler. Rien de pire que de
la sécurité des fanatiques de vous dire ce qui est
le mieux pour votre environnement et puis ne pas
en vous donnant un moyen de le désactiver.

C'est vraiment ennuyeux. Il pourrait être
sage de se tenir au courant de comportement par
par défaut pour des raisons de sécurité, mais
il devrait y avoir un moyen de passer outre
autres de les recompiler à partir de la source
le code! Beaucoup de gens SONT dans le besoin de CHEMIN
de l'héritage. Je me demande pourquoi pas
les responsables de regarder dans, ce qui semble
facile à monter avec un acceptable
solution.

J'ai travaillé autour d'elle comme ceci:
```
mv /usr/bin/sudo /usr/bin/sudo.orig
```
puis créez un fichier /usr/bin/sudo contenant les éléments suivants:
```
#!/bin/bash
/usr/bin/sudo.orig env PATH=$PATH "$@"
```
alors votre sudo fonctionne exactement comme la non sécurisé-chemin sudo
Ubuntu bug #192651 ("sudo chemin est toujours reset")

Étant donné qu'une copie de ce bogue a été
déposée à l'origine en juillet 2006, je ne suis pas
clair combien de temps l'inefficacité env_keep
a été en opération. Quelle que soit la
fond de forcer les utilisateurs à employer
des trucs comme indiqué ci-dessus,
sûrement les pages de manuel pour la commande sudo et
sudoers doit refléter le fait que
options pour modifier le CHEMIN d'accès sont
effectivement redondant.

La modification de la documentation pour tenir compte
exécution effective est pas le déstabiliser
et très utile.

Ubuntu bug #226595 ("impossible de conserver/indiquez le CHEMIN d'accès")
J'ai besoin d'être en mesure de lancer la commande sudo avec
supplémentaire non-std binaire dossiers dans
le CHEMIN d'accès. Ayant déjà ajouté mon
exigences de /etc/environment, j'ai été
surpris lorsque j'ai des erreurs sur l'
commandes manquantes lors de l'exécution de leur
en vertu de sudo.....

J'ai essayé les méthodes suivantes pour résoudre ce
sans succès:
1. À l'aide de la "sudo -E" option ne fonctionne pas. Mon CHEMIN était encore réinitialisation par sudo
2. Changer "Defaults env_reset" à "Defaults !env_reset" dans /etc/sudoers, aussi ne fonctionne pas (même lorsqu'il est combiné avec sudo -E)
3. Décommentant env_reset (par exemple,"#Defaults env_reset") dans /etc/sudoers, aussi ne fonctionne pas.
4. Ajoutant ' Defaults env_keep += "PATH" ' /etc/sudoers, aussi ne fonctionne pas.
Clairement - en dépit de l'homme
documentation - sudo est complètement
codé en dur concernant le CHEMIN d'accès et ne pas
permettre à toute la flexibilité concernant
en conservant le CHEMIN d'accès des utilisateurs. Très
ennuyeux que je ne peux pas courir non-par défaut
logiciel sous les permissions root à l'aide de
sudo.
InformationsquelleAutor Tyler Rick
13

Cela semblait fonctionner pour moi
```
sudo -i 
```
qui prend sur la non-sudo PATH
- 'sudo -i' n'aide pas sur Ubuntu (j'ai vérifié Ubuntu 14.04.3 LTS). $CHEMIN est encore modifié par sudo.
InformationsquelleAutor axsuul
11

Je pense qu'il est souhaitable d'avoir sudo réinitialiser le CHEMIN: autrement, un attaquant ayant compromis votre compte d'utilisateur pouvait mettre backdoored versions de tous les types de outils de vos utilisateurs CHEMIN, et ils seraient exécutés lors de l'utilisation de sudo.

(bien sûr, d'avoir sudo réinitialiser le CHEMIN n'est pas une solution complète pour ces types de problèmes, mais ça aide)

C'est en effet ce qui se passe lorsque vous utilisez
```
Defaults env_reset
```
dans /etc/sudoers, sans l'aide de exempt_group ou env_keep.

C'est aussi pratique car vous pouvez ajouter des répertoires qui ne sont utiles que pour la racine (comme /sbin et /usr/sbin) pour le sudo chemin sans les ajouter à vos utilisateurs des chemins. Pour spécifier le chemin d'accès pour être utilisé par sudo:
```
Defaults secure_path="/bin:/usr/bin:/usr/local/bin:/sbin:/usr/sbin"
```
- un attaquant qui gagne de l'accès à un sudoer compte peut faire pire des choses.
- Un décent conseils. Sur ubuntu 12.04 Server, un même paramètre est par défaut.
InformationsquelleAutor Arnout Engelen

Travaille maintenant à l'aide de sudo à partir de la potentialité des dépôts. Les détails de ma configuration:

root@sphinx:~# cat /etc/sudoers | grep -v -e '^$' -e '^#'
Defaults    env_reset
Defaults    secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/opt/grub-1.96/sbin:/opt/grub-1.96/bin"
root    ALL=(ALL) ALL
%admin ALL=(ALL) ALL
root@sphinx:~# cat /etc/apt/sources.list
deb http://au.archive.ubuntu.com/ubuntu/jaunty main restricted universe
deb-src http://au.archive.ubuntu.com/ubuntu/jaunty main restricted universe

deb http://au.archive.ubuntu.com/ubuntu/jaunty-updates main restricted universe
deb-src http://au.archive.ubuntu.com/ubuntu/jaunty-updates main restricted universe

deb http://security.ubuntu.com/ubuntu jaunty-security main restricted universe
deb-src http://security.ubuntu.com/ubuntu jaunty-security main restricted universe

deb http://au.archive.ubuntu.com/ubuntu/karmic main restricted universe
deb-src http://au.archive.ubuntu.com/ubuntu/karmic main restricted universe

deb http://au.archive.ubuntu.com/ubuntu/karmic-updates main restricted universe
deb-src http://au.archive.ubuntu.com/ubuntu/karmic-updates main restricted universe

deb http://security.ubuntu.com/ubuntu karmic-security main restricted universe
deb-src http://security.ubuntu.com/ubuntu karmic-security main restricted universe
root@sphinx:~# 

root@sphinx:~# cat /etc/apt/preferences 
Package: sudo
Pin: release a=karmic-security
Pin-Priority: 990

Package: sudo
Pin: release a=karmic-updates
Pin-Priority: 960

Package: sudo
Pin: release a=karmic
Pin-Priority: 930

Package: *
Pin: release a=jaunty-security
Pin-Priority: 900

Package: *
Pin: release a=jaunty-updates
Pin-Priority: 700

Package: *
Pin: release a=jaunty
Pin-Priority: 500

Package: *
Pin: release a=karmic-security
Pin-Priority: 450

Package: *
Pin: release a=karmic-updates
Pin-Priority: 250

Package: *
Pin: release a=karmic
Pin-Priority: 50
root@sphinx:~# apt-cache policy sudo
sudo:
  Installed: 1.7.0-1ubuntu2
  Candidate: 1.7.0-1ubuntu2
  Package pin: 1.7.0-1ubuntu2
  Version table:
 *** 1.7.0-1ubuntu2 930
         50 http://au.archive.ubuntu.com karmic/main Packages
        100 /var/lib/dpkg/status
     1.6.9p17-1ubuntu3 930
        500 http://au.archive.ubuntu.com jaunty/main Packages
root@sphinx:~# echo $PATH
/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/opt/grub-1.96/sbin:/opt/grub-1.96/bin
root@sphinx:~# exit
exit
abolte@sphinx:~$ echo $PATH
/home/abolte/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/opt/grub-1.96/sbin:/opt/grub-1.96/bin:/opt/chromium-17593:/opt/grub-1.96/sbin:/opt/grub-1.96/bin:/opt/xpra-0.0.6/bin
abolte@sphinx:~$

C'est merveilleux d'avoir enfin ce résolus sans l'aide d'un hack.

Peut-être vous envisagez de réécrire ce pour indiquer comment quelqu'un avec un nettoyage Karmique installer peut mettre à jour leur configuration pour résoudre ce problème particulier.

InformationsquelleAutor

# cat .bash_profile | grep PATH
PATH=$HOME/bin:/usr/local/bin:/usr/local/sbin:/usr/bin:/usr/sbin:/bin:/sbin
export PATH

# cat /etc/sudoers | grep Defaults
Defaults    requiretty
Defaults    env_reset
Defaults    env_keep = "SOME_PARAM1 SOME_PARAM2 ... PATH"

InformationsquelleAutor daggerok

3

Juste un commentaire "par Défaut env_reset" dans /etc/sudoers

InformationsquelleAutor
3

Il suffit d'éditer env_keep dans /etc/sudoers

Il ressemble à quelque chose comme ceci:

Defaults env_keep = "LANG LC_ADDRESS LC_CTYPE LC_COLLATE LC_IDENTIFICATION LC_MEASURE MENT LC_MESSAGES LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE LC_TIME LC_ALL L ANGUAGE LINGUAS XDG_SESSION_COOKIE"

Simplement ajouter le CHEMIN à la fin, donc après le changement, il devrait ressembler à ceci:

Defaults env_keep = "LANG LC_ADDRESS LC_CTYPE LC_COLLATE LC_IDENTIFICATION LC_MEASURE MENT LC_MESSAGES LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE LC_TIME LC_ALL L ANGUAGE LINGUAS XDG_SESSION_COOKIE PATH"

Fermer le terminal, puis l'ouvrir de nouveau.
- Attendre CHEMIN a besoin de 2 **? Pourquoi n'CHEMIN de besoin **?
- Il a été mis en forme en gras (en markdown), mais quelqu'un (débordement de pile ne me permet pas de pointer du doigt) édité pour la marquer comme du code.
InformationsquelleAutor temp_sny
2

Secure_path est votre ami, mais si vous voulez vous dispensez de secure_path il suffit de ne
```
sudo visudo 
```
Et ajouter
```
Par défaut exempt_group=your_goup 
```
Si vous voulez exclure un groupe d'utilisateurs de créer un groupe, ajouter tous les utilisateurs, et l'utiliser comme votre exempt_group. homme 5 sudoers pour plus d'.

InformationsquelleAutor user378555

la solution recommandée dans les commentaires sur la distribution OpenSUSE suggère de changer:

Defaults env_reset

à:

Defaults !env_reset

et puis sans doute mettre en commentaire la ligne suivante qui n'est pas nécessaire:

Defaults env_keep = "LANG LC_ADDRESS LC_CTYPE LC_COLLATE LC_IDENTIFICATION LC_MEASURE    MENT LC_MESSAGES LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE LC_TIME LC_ALL L    ANGUAGE LINGUAS XDG_SESSION_COOKIE"

InformationsquelleAutor inman320

1

commentaire à la fois "par Défaut env_reset" et "par Défaut secure_path ..." dans /etc/sudores fichier fonctionne pour moi

InformationsquelleAutor user3622173
1

Vous pouvez également déplacer votre fichier sudoers utilisé répertoire :
```
    sudo mv $HOME/bash/script.sh /usr/sbin/
```
InformationsquelleAutor LeGilles

Re, il n'est pas vraiment un test, si vous n'avez pas ajouter quelque chose à votre chemin d'accès:

projet de loi@bill-desktop:~$ ls -l /opt/pkg/bin 
total 12 
-rwxr-xr-x 1 root root 28 2009-01-22 18:58 foo 
le projet de loi@bill-desktop:~$ qui foo 
/opt/pkg/bin/foo 
le projet de loi@bill-desktop:~$ sudo su 
root@bill-desktop:/home/bill# le foo 
root@bill-desktop:/home/bill#

InformationsquelleAutor

0

Le CHEMIN d'accès sera remis lors de l'utilisation de su ou sudo par la définition de ENV_SUPATH, et ENV_PATH définies dans /etc/login.defs

InformationsquelleAutor Bradley Allen
0

$PATH est une variable d'environnement, et cela signifie que la valeur de $PATH peuvent différer pour un autre utilisateur.

Quand vous faites de connexion dans votre système, puis votre paramètre de profil de décider de la valeur de la $PATH.

Maintenant, permet de jeter un coup d'oeil:-
```
User       |        Value of $PATH
--------------------------
root                /var/www
user1               /var/www/user1
user2               /var/www/html/private
```
Supposons que ce sont les valeurs de $CHEMIN d'accès pour les différents utilisateurs. Maintenant, quand vous êtes de l'exécution de toute commande avec sudo, mais de sens racine utilisateur exécute la commande .

Vous pouvez le vérifier en exécutant ces commandes dans le terminal :-
```
user@localhost$ whoami
username
user@localhost$ sudo whoami
root
user@localhost$ 
```
C'est la raison. Je pense que c'est clair pour vous.

InformationsquelleAutor Deepak Dixit

Vous devez vous connecter pour publier un commentaire.