Ainakin kolmannen kerran tässä ketjussa: olen laittanut triggeriin välitulostuksia tiedostoon ja moneen kertaan tarkistanut että se suoritetaan minun käyttäjätunnuksellani ja real uid ja effective uid ovat samat.
Sori, en huomannut tuota yhtä viestiä lainkaan, joten vastaan vielä siihen:
Nyt kun olen korjannut sudoers-virheen, tombin sisällä oleva sudo pyytää edelleen salasanaa. Mikä onkin loogista, kun tomb ei ole binääri vaan skripti. Eihän sudo-oikeus scriptiin voi periytyä komennoille joita se suorittaa, sen enempää kuin s-bittikään.
Kyllä sudo-kirjautumisen kautta saadut oikeudet periytyvät skriptin sisällä suoritettaville komennoille! Lisäksi skriptin sisällä ajettavat sudo-komennot eivät kysy salasanaa uudelleen, jos skripti on onnistuneesti käynnistetty sudolla. Siksi tätä NOPASSWD-ratkaisua juuri ehdotettiinkin, ja se kyllä toimii ihan takuuvarmasti, kun teet asiat oikein.
Eli vielä kertauksena:
1. Lisää visudolla /etc/sudoers tai /etc/sudoers.d/tomb -tiedostoon toimiva NOPASSWD-asetus /usr/bin/tomb -skriptille. Asetuksen toimivuuden voi testata komentorivillä ja lisäksi vaikka ajamalla komento ssh:lla, jolloin interaktiivista tty:tä ei ole käytössä ja salasanakysely epäonnistuu, jos sudo sellaista yrittää:
ssh localhost sudo /usr/bin/tomb list2. Varmista, että tomb-komento suoritetaan sudolla!
Tarkennus: ongelmana on siis se, että sudoers-asetus toimii jos käytän tomb-komentoja päätteessä. Mutta kun selain ajaa triggerikoodini, niin sudo huutaa päätettä ja aiheuttaa virheen. Mutta koska olen käännän tomb-komennon statuksen (! tomb -q list), niin backup suoitetaan riippumatta siitä mikä tomb-komennon status olisi ollut jos sen suoritus olisi onnistunut. Saan vain varoituksen, joka sisältää sudo-komennon virheilmoituksen.
Tuossa triggerissäsi ei vieläkään ole sudoa! Lisää se:
(! sudo tomb -q list
Aihe: sudo: a terminal is rquired to read the password (Luettu 5821 kertaa)
