Warum funktioniert sudo den PFAD ändern?

Dies ist die PATH variable ohne sudo:

$ echo 'echo $PATH' | sh 
/opt/local/ruby/bin:/usr/bin:/bin

Dies ist die PATH variable mit sudo:

$ echo 'echo $PATH' | sudo sh
/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/X11R6/bin

Soweit ich das beurteilen kann, sudo soll lassen PATH unberührt. Was ist Los? Wie kann ich das ändern? (Das ist unter Ubuntu 8.04).

UPDATE: soweit ich das sehen kann, keines der Skripte als root gestartet ändern PATH in keiner Weise.

Vom man sudo:

Verhindern Befehl spoofing, sudo
Kontrolle. ` " und `" (beide bezeichnen
aktuelle Verzeichnis) zuletzt bei der Suche
für ein Befehl im PFAD des Benutzers (wenn
eine oder beide sind im WEG). Hinweis,
jedoch, dass Sie den tatsächlichen PFAD
die environment-variable wird nicht geändert
und unverändert verabschiedet werden, um das Programm
sudo ausführt.

Macht root alles, das PATH setzt in .bashrc? Dies ist unter der Annahme, dass, da Sie auf Linux, sh ist wirklich bash.
unix.stackexchange.com/questions/83191/... || unix.stackexchange.com/questions/8646/... || superuser.com/questions/98686/passing-path-through-sudo

InformationsquelleAutor Michiel de Mare | 2008-11-03

234

Dies ist ~~eine lästige Funktion~~ eine Funktion, sudo auf vielen Distributionen.

Arbeiten, um dieses "problem" auf ubuntu ich tun
Folgendes in meine ~/.bashrc
```
alias sudo='sudo env PATH=$PATH'
```
Beachten Sie die oben genannten arbeiten für Befehle, die nicht zurückgesetzt-die $PATH selbst.
Aber `su' setzt es in $PATH, also müssen Sie -p zu sagen, es nicht zu. I. E.:
```
sudo su -p
```
- Dieses "lästige Funktion" verhindert, dass Sie immer trojaned. Ich sage zwingen, ein bestimmtes $PATH ist ein feature, kein bug---es macht, schreiben Sie den vollständigen Pfad zu einem Programm, das außerhalb der $PATH.
- Ja, aber es ist völlig kontraintuitiv. Es wohl Narren, die guten mehr als die bösen Jungs.
- Ich bin verwirrt. Chris, meinst du, "es macht, schreiben Sie den vollständigen Pfad zu einem Programm, das inside die $PATH" ? Oder meinst du "...das ist außerhalb der Standard/secure $PATH" ?
- Es ist nicht nur eingängig, es ist falsch dokumentiert. Lesen Sie die man-pages zu sudo, und vergleicht man die config gegen eine Fedora-box, ich dachte, der Pfad sollte beibehalten werden. In der Tat, "sudo -V" selbst sagt, "Umgebungsvariablen zu erhalten: PFAD".
- Diese Antwort funktioniert nicht mehr (ubuntu 9.10, der karmic koala werden). Bitte, bitte, bitte update!
- Der letzteren. (Sorry, ich war nicht alarmiert, um Ihre Antwort, wahrscheinlich, weil es didn ' T start mit "@Chris"; ich wusste nur davon, weil in diesem thread erwähnt wurde im chat in letzter Zeit.)
- tremens: ich bin mit 10.10 und es HAT funktioniert.
- Beachten Sie, dass diese alias-Schraube einige Dinge, wie zum Beispiel "sudo -s"
- es ist ärgerlich. Zeitraum. wenn es könnte 'erhalten Sie trojaned' mit sudo könnte es erhalten Sie trojaned dasselbe ohne ihn. zugegeben, schwieriger, aber wenn Sie mit code aus dem falschen Ort, auch mit Ihrem normalen Benutzer, dann werden die Dinge sind schon schlimm genug.
- ja, die Dokumentation anzeigen Beleidigung für ärger. das ist, warum ich respektiere openBSD für die Behandlung von Dokumentation wie code. gewesen wäre, einen blockierenden Fehler gibt. auf ubuntu...
- Nicht alias sudo; siehe Antwort von @Jakob über Standardwerte env_reset.
- Dieser alias wird über ein un-zitiert Variablen-Ersetzung, die als root läuft. (es verursacht auch zwei unnötige Gabel/Produzenten für jeden Befehl, den Sie ausführen, mit der es), Selbst wenn die Sicherheit ist nicht so wichtig, auf der box, das fühlt sich einfach böse zu mir. Finden Sie die Lösung mit !secure_path und env_keep.
- Warum ist diese gewählt #1? Diese Antwort beantwortet nicht OP ' s Frage, warum sudo ändert den Pfad, und es bietet eine fragwürdige "Lösung" ohne zu erklären, die möglichen Nachteile! Die Nützlichkeit dieser Funktion ist die Meinung-basiert und soll dem Leser zu entscheiden, gegeben eine unvoreingenommene Liste der vor-und Nachteile.
InformationsquelleAutor pixelbeat
118

Den Fall, dass jemand anderes läuft über diese und will einfach alle deaktivieren path-variable ändern für alle Benutzer.

Zugriff auf Ihre sudoers-Datei mit dem Befehl:visudo. Sollten Sie die folgende Zeile irgendwo:

Defaults env_reset

die Sie sollten, fügen Sie den folgenden in der nächsten Zeile

Defaults !secure_path

secure_path ist standardmäßig aktiviert. Diese option gibt an, was zu machen, $PFAD, wenn sudoing. Das Ausrufezeichen deaktiviert die Funktion.
- Dieser arbeitete für mich auf ubuntu 10.10.
- Dies funktioniert einfach. Debian 6 (squeeze)
- ein anderer Weg: Defaults env_keep = "PATH"
- Standardwerte !secure_path funktionierte großartig für mich an moderne Systeme; auf einer alten ubuntu-8.04-box, Standardmäßig env_keep = "PFAD" war der trick.
- Anstatt deaktivieren der secure_path können Sie es hinzufügen. Zum Beispiel in meinem Fall fügte ich die Zeile "Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/einige/custom/Verzeichnis" wo "einige/custom/Verzeichnis" ist der Pfad, den ich brauchte, zur Verfügung zu stellen, um sudo.
- Lösung ist der bessere Weg, IMO.
InformationsquelleAutor Jacob

PATH ist eine Umgebungsvariable, und als solche ist die Standardeinstellung zurücksetzen, indem Sie sudo.

Benötigen Sie spezielle Berechtigungen gestattet sein, dies zu tun.

Vom man sudo

 -E Der -E (preserve environment) wird die option überschreiben der env_reset 
option in sudoers(5)). Es ist nur verfügbar, wenn entweder die entsprechen- 
ing Befehl SETENV-tag "oder" setenv option im sudo- 
ers(5).

 Umgebungsvariablen gesetzt werden, für die der Befehl kann auch weitergegeben werden 
die Kommandozeile in der form von VAR=Wert, z.B. 
LD_LIBRARY_PATH=/usr/local/pkg/lib. Variablen auf der Kommandozeile übergeben 
line unterliegen den gleichen Einschränkungen wie normale Umgebung vari- 
rungen mit einer wichtigen Ausnahme. Wenn die setenv option gesetzt ist, in 
sudoers den Befehl ausgeführt hat, die SETENV-tag gesetzt, oder der Befehl 
abgestimmt ist ALLES, der Benutzer kann Variablen, die würde overwise für 
geheißen. Siehe sudoers(5) für weitere Informationen.

Ein Beispiel für die Verwendung:

cat >> test.sh
env | grep "MYEXAMPLE" ;
^D

sh test.sh 
MYEXAMPLE=1 sh test.sh
# MYEXAMPLE=1
MYEXAMPLE=1 sudo sh test.sh 
MYEXAMPLE=1 sudo MYEXAMPLE=2 sh test.sh 
# MYEXAMPLE=2

update

man 5 sudoers : 

env_reset Wenn gesetzt, sudo wird zurückgesetzt, die Umwelt zu nur enthalten 
der LOGNAME, SHELL, USER, USERNAME und die SUDO_* vari- 
ables. Jede Variable, die im aufrufenden Umgebung, die 
entsprechen die env_keep und env_check Listen werden dann Hinzugefügt. 
Die Standard-Inhalte der env_keep und env_check 
Listen werden angezeigt, wenn sudo ist Ausführung als root mit 
-V option. Wenn sudo kompiliert wurde mit der SECURE_PATH 
option, deren Wert verwendet werden, für die der PATH Umgebung 
variable. Dieses flag ist standardmäßig aktiviert.

So brauchen kann, um zu überprüfen, dass dies ist/wird nicht kompiliert.

Es ist standardmäßig in Gentoo

# ( From the build Script )
....
ROOTPATH=$(cleanpath /bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/opt/bin${ROOTPATH:+:${ROOTPATH}})
....
econf --with-secure-path="${ROOTPATH}"

InformationsquelleAutor Kent Fredric

17

Sieht aus wie dieser bug gibt es schon seit einer Weile! Hier sind einige Fehler verweisen, die Sie vielleicht nützlich finden (und eventuell abonnieren möchten /vote oben, hint, hint...):

Debian bug #85123 ("sudo: SECURE_PATH kann immer noch nicht außer Kraft gesetzt werden") (von 2001!)

Es scheint, dass der Fehler#20996 ist noch vorhanden in dieser version von sudo. Die
changelog sagt, dass es überschrieben werden kann, zur Laufzeit, aber ich habe noch nicht
entdeckt wie.

Nennen Sie Sie, so etwas wie dies in Ihrer sudoers-Datei:
```
Defaults secure_path="/bin:/usr/bin:/usr/local/bin"
```
aber wenn ich das mache, dass in Ubuntu 8.10 zumindest, es gibt mir diese Fehlermeldung:
```
visudo: unknown defaults entry `secure_path' referenced near line 10
```
Ubuntu bug #50797 ("sudo gebaut --mit-sicherer-Weg ist problematisch")
Schlimmer noch, soweit ich sagen kann, es
unmöglich ist massenzukopieren secure_path
in der sudoers-Datei. Also, wenn, für
Beispiel Sie möchten, bieten Sie Ihren Nutzern
einfachen Zugang zu etwas, das unter /opt,
müssen Sie neu kompilieren sudo.

Ja. Es muss eine Möglichkeit
überschreiben Sie diese "Funktion" ohne
neu kompilieren zu müssen. Nichts schlimmer dann
Sicherheits-Fanatiker erzählen Sie, was
am besten für Ihre Umgebung und dann nicht
geben Sie einen Weg, um es auszuschalten.

Das ist wirklich ärgerlich. Könnte es sein
Weise auf dem Laufenden zu halten-Verhalten von
Standard-aus Gründen der Sicherheit, aber
es sollte eine Art sein, überschreiben Sie es
außer Neukompilierung aus dem Quellcode
code! Viele Menschen SIND in der Notwendigkeit der PFAD
die Vererbung. Ich Frage mich, warum keine
die Betreuer kümmern, das scheint
einfach zu kommen mit einer akzeptablen
Lösung.

Ich gearbeitet, um es so aus:
```
mv /usr/bin/sudo /usr/bin/sudo.orig
```
erstellen Sie dann eine Datei /usr/bin/sudo, die Folgendes enthält:
```
#!/bin/bash
/usr/bin/sudo.orig env PATH=$PATH "$@"
```
dann Ihre regelmäßigen sudo funktioniert genauso wie der nicht sichere Weg sudo
Ubuntu bug #192651 ("sudo Pfad wird immer zurückgesetzt")

Gegeben, dass ein Duplikat von diesem bug war
ursprünglich eingereicht im Juli 2006, ich bin nicht
klar, wie lange fruchtlosem env_keep
bereits in Betrieb ist. Was auch immer die
Vorzüge, die den Benutzer zwingen beschäftigen
tricks wie die, die oben aufgeführt sind,
sicherlich die man-pages zu sudo und
sudoers sollte die Tatsache widerspiegeln, dass
Optionen der PFAD geändert werden
effektiv überflüssig.

Ändern der Dokumentation widerspiegeln
die tatsächliche Ausführung ist nicht eingrenzen
und sehr hilfreich sind.

Ubuntu bug #226595 ("unmöglich zu behalten/geben Sie den PFAD")
Ich muss in der Lage zum ausführen von sudo mit
zusätzliche, nicht-std-binary-Ordner in
der PFAD. Nachdem Sie bereits Hinzugefügt meine
Anforderungen /etc/environment war ich
überrascht, wenn ich habe Fehler über
fehlende Befehle bei der Ausführung
unter sudo.....

Ich habe Folgendes versucht, dieses Problem zu beheben
ohne Erfolg:
1. Mithilfe der "sudo -E" option funktionierte nicht. Mein vorhandener PFAD war immer noch zurücksetzen, indem Sie sudo
2. Ändern "Defaults env_reset" zu "Defaults !env_reset" in /etc/sudoers -- hat auch nicht funktioniert (auch wenn Sie kombiniert werden mit sudo -E)
3. Einkommentieren env_reset (z.B. "#Defaults env_reset") in /etc/sudoers -- hat auch nicht funktioniert.
4. Hinzufügen ' Defaults env_keep += "PATH" ' /etc/sudoers -- hat auch nicht funktioniert.
Klar - trotz der Mann
Dokumentation - sudo ist komplett
hardcoded in Bezug auf PFAD und nicht
ermöglichen keine Flexibilität bzgl.
Beibehaltung der Benutzer WEG. Sehr
ärgerlich, da kann ich nicht ausführen, nicht-Standard -
software, die unter root-Berechtigungen verwenden
sudo.
InformationsquelleAutor Tyler Rick
13

Diese schien für mich arbeiten,
```
sudo -i 
```
nimmt die nicht-sudo PATH
- 'sudo-i' hilft nicht auf Ubuntu (ich habe überprüft, Ubuntu 14.04.3 LTS). $PATH wird noch geändert mit sudo.
- Arbeitete wie Magie 🙂
InformationsquelleAutor axsuul
11

Ich denke, es ist in der Tat wünschenswert, sudo zurücksetzen PFAD: sonst ein Angreifer mit manipulierten Ihrem Benutzer-Konto könnte backdoored Versionen von allen Arten von Werkzeugen, die auf Ihrem Nutzer-PFAD, und Sie würde hingerichtet werden, wenn Sie sudo benutzen.

(natürlich mit sudo zurücksetzen der PFAD ist nicht eine komplette Lösung, um diese Art von Problemen, aber es hilft)

Dies ist in der Tat, was passiert, wenn Sie
```
Defaults env_reset
```
in /etc/sudoers ohne Verwendung exempt_group oder env_keep.

Dies ist auch praktisch, denn Sie können Verzeichnisse hinzufügen, die sind nur nützlich für root (wie /sbin und /usr/sbin), um das sudo Weg, ohne das hinzufügen von Ihnen zu Ihrer Benutzer-Pfade. Geben Sie den Pfad verwendet werden sudo:
```
Defaults secure_path="/bin:/usr/bin:/usr/local/bin:/sbin:/usr/sbin"
```
- ein Angreifer, der Gewinne acccess zu einem sudoer-Konto kann noch Schlimmeres.
- Eine anständige Beratung. Auf ubuntu 12.04 Server, der eine ähnliche Einstellung ist default.
InformationsquelleAutor Arnout Engelen

Arbeitet jetzt mit sudo aus den karmic-repositories. Details von meine Konfiguration:

root@sphinx:~# cat /etc/sudoers | grep -v -e '^$' -e '^#'
Defaults    env_reset
Defaults    secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/opt/grub-1.96/sbin:/opt/grub-1.96/bin"
root    ALL=(ALL) ALL
%admin ALL=(ALL) ALL
root@sphinx:~# cat /etc/apt/sources.list
deb http://au.archive.ubuntu.com/ubuntu/jaunty main restricted universe
deb-src http://au.archive.ubuntu.com/ubuntu/jaunty main restricted universe

deb http://au.archive.ubuntu.com/ubuntu/jaunty-updates main restricted universe
deb-src http://au.archive.ubuntu.com/ubuntu/jaunty-updates main restricted universe

deb http://security.ubuntu.com/ubuntu jaunty-security main restricted universe
deb-src http://security.ubuntu.com/ubuntu jaunty-security main restricted universe

deb http://au.archive.ubuntu.com/ubuntu/karmic main restricted universe
deb-src http://au.archive.ubuntu.com/ubuntu/karmic main restricted universe

deb http://au.archive.ubuntu.com/ubuntu/karmic-updates main restricted universe
deb-src http://au.archive.ubuntu.com/ubuntu/karmic-updates main restricted universe

deb http://security.ubuntu.com/ubuntu karmic-security main restricted universe
deb-src http://security.ubuntu.com/ubuntu karmic-security main restricted universe
root@sphinx:~# 

root@sphinx:~# cat /etc/apt/preferences 
Package: sudo
Pin: release a=karmic-security
Pin-Priority: 990

Package: sudo
Pin: release a=karmic-updates
Pin-Priority: 960

Package: sudo
Pin: release a=karmic
Pin-Priority: 930

Package: *
Pin: release a=jaunty-security
Pin-Priority: 900

Package: *
Pin: release a=jaunty-updates
Pin-Priority: 700

Package: *
Pin: release a=jaunty
Pin-Priority: 500

Package: *
Pin: release a=karmic-security
Pin-Priority: 450

Package: *
Pin: release a=karmic-updates
Pin-Priority: 250

Package: *
Pin: release a=karmic
Pin-Priority: 50
root@sphinx:~# apt-cache policy sudo
sudo:
  Installed: 1.7.0-1ubuntu2
  Candidate: 1.7.0-1ubuntu2
  Package pin: 1.7.0-1ubuntu2
  Version table:
 *** 1.7.0-1ubuntu2 930
         50 http://au.archive.ubuntu.com karmic/main Packages
        100 /var/lib/dpkg/status
     1.6.9p17-1ubuntu3 930
        500 http://au.archive.ubuntu.com jaunty/main Packages
root@sphinx:~# echo $PATH
/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/opt/grub-1.96/sbin:/opt/grub-1.96/bin
root@sphinx:~# exit
exit
abolte@sphinx:~$ echo $PATH
/home/abolte/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/opt/grub-1.96/sbin:/opt/grub-1.96/bin:/opt/chromium-17593:/opt/grub-1.96/sbin:/opt/grub-1.96/bin:/opt/xpra-0.0.6/bin
abolte@sphinx:~$

Es ist wunderbar, endlich haben dies gelöst, ohne einen hack.

Vielleicht möchten Sie prüfen, umschreiben dies zu zeigen, wie jemand mit einem sauberen Karmischen installieren, aktualisieren könnte Ihre config zu lösen dieses problem.

InformationsquelleAutor

# cat .bash_profile | grep PATH
PATH=$HOME/bin:/usr/local/bin:/usr/local/sbin:/usr/bin:/usr/sbin:/bin:/sbin
export PATH

# cat /etc/sudoers | grep Defaults
Defaults    requiretty
Defaults    env_reset
Defaults    env_keep = "SOME_PARAM1 SOME_PARAM2 ... PATH"

InformationsquelleAutor daggerok

3

Kommentiere einfach "Defaults env_reset" in /etc/sudoers

InformationsquelleAutor
3

Nur Bearbeiten env_keep im /etc/sudoers

Es sieht wie folgt aus:

Defaults env_keep = "LANG LC_ADDRESS LC_CTYPE LC_COLLATE LC_IDENTIFICATION LC_MEASURE MENT LC_MESSAGES LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE LC_TIME LC_ALL L ANGUAGE LINGUAS XDG_SESSION_COOKIE"

Fügen Sie einfach WEG am Ende, also nach der änderung würde es so Aussehen:

Defaults env_keep = "LANG LC_ADDRESS LC_CTYPE LC_COLLATE LC_IDENTIFICATION LC_MEASURE MENT LC_MESSAGES LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE LC_TIME LC_ALL L ANGUAGE LINGUAS XDG_SESSION_COOKIE PATH"

Schließen Sie das terminal und öffnen es erneut.
- Warten PFAD muss 2 **? Warum wird WEG müssen **?
- Es wurde formatiert, wie Fett (in markdown), aber jemand (stack-überlauf wird nicht lassen Sie mich mit dem Finger) bearbeitet es zu markieren es als code.
InformationsquelleAutor temp_sny
2

Secure_path ist dein Freund, aber wenn Sie wollen, befreit sich von secure_path nur tun
```
sudo visudo 
```
Append
```
Defaults exempt_group=your_goup 
```
Wenn Sie wollen, zu befreien eine Reihe von Benutzern erstellen Sie eine Gruppe, fügen Sie alle Benutzer, und verwenden Sie diese als Ihre exempt_group. man 5 sudoers für mehr.

InformationsquelleAutor user378555

die empfohlene Lösung in den Kommentaren auf der OpenSUSE-Distribution schlägt vor zu ändern:

Defaults env_reset

zu:

Defaults !env_reset

dann vermutlich, um kommentieren Sie die folgende Zeile, die nicht mehr gebraucht:

Defaults env_keep = "LANG LC_ADDRESS LC_CTYPE LC_COLLATE LC_IDENTIFICATION LC_MEASURE    MENT LC_MESSAGES LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE LC_TIME LC_ALL L    ANGUAGE LINGUAS XDG_SESSION_COOKIE"

InformationsquelleAutor inman320

1

Kommentar " sowohl für "Standard-env_reset" und "Standard-secure_path ..." in /etc/sudores-Datei funktioniert bei mir

InformationsquelleAutor user3622173
1

Sie können auch verschieben Sie die Datei im sudoers-Verzeichnis verwendet :
```
    sudo mv $HOME/bash/script.sh /usr/sbin/
```
InformationsquelleAutor LeGilles

Äh, es ist nicht wirklich ein test, wenn Sie nicht etwas hinzufügen, um Ihr Pfad:

bill@bill-desktop:~$ ls -l /opt/pkg/bin 
insgesamt 12 
-rwxr-xr-x 1 root root 28 2009-01-22 18:58 foo 
bill@bill-desktop:~$ die foo 
/opt/pkg/bin/foo 
bill@bill-desktop:~$ sudo su 
root@bill-desktop:/home/bill# die foo 
root@bill-desktop:/home/bill#

InformationsquelleAutor

0

Den PFAD wird zurückgesetzt, wenn mit su oder sudo, durch die definition von ENV_SUPATH, und ENV_PATH definiert in /etc/login.defs

InformationsquelleAutor Bradley Allen
0

$PATH ist eine Umgebungsvariable und es bedeutet, dass der Wert $PATH können sich für einen anderen Benutzer.

Wenn Sie tun loggen Sie sich in Ihr system dann Ihr Profil-Einstellung entscheiden, den Wert der $PATH.

Nun, werfen wir einen Blick:-
```
User       |        Value of $PATH
--------------------------
root                /var/www
user1               /var/www/user1
user2               /var/www/html/private
```
Angenommen, dass diese Werte von $PATH für verschiedene Benutzer. Nun, wenn Sie die Ausführung eines Befehls mit sudo dann in der eigentlichen Bedeutung root Benutzer ausgeführt wird, der Befehl .

Können Sie bestätigen, dass durch die Ausführung dieser Befehle im terminal :-
```
user@localhost$ whoami
username
user@localhost$ sudo whoami
root
user@localhost$ 
```
Dies ist der Grund. Ich denke, Ihr klar zu Ihnen.

InformationsquelleAutor Deepak Dixit

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.