Как запустить скрипт от имени пользователя, в котором имеются команды, выполняющиеся от root, не спрашивая пароля?

Question

[никто никак]

Я пишу скрипт установщик для дистрибутива Arch Linux.

1) В скрипте имеются команды, которые должны быть запущены от имени пользователя.
2) В скрипте имеются команды, которые требуют прав суперпользователя.

Я хочу, чтобы скрипт выполнялся непрерывно. То есть при выполнении sudo команд у пользователя НЕ спрашивался пароль и скрипт продолжал дальше работать.

Что я сделал: сохранил пароль от пользователя (которого заранее добавил в sudoers), запустил скрипт от имени пользователя, а в нем, в командах, которые требуют root, просто приписывал
echo $USER_PASS | sudo -S command

Казалось бы всё отлично, костыль работает, но вот незадача.

Есть одна очень неудобная команда, которую я использую в скрипте
makepkg -sri
Дело в том, что она не даёт запустить себя от root'a. Но в процессе её выполнения она сама вызывает sudo, которому я конечно же не могу задать параметр -S.

Что делать в такой ситуации? Решения нет? Забыть про непрерывность скрипта?

Сам скрипт (я только-только на этой неделе начал изучать BASH):

spoiler

https://github.com/Mogekoff/alma.sh/blob/master/al...

Answer 1

[jcmvbkbc]

Что делать в такой ситуации?

Добавить пользователя который выполняет этот скрипт в /etc/sudoers с флагом NOPASSWD. Костыли убрать:

username ALL=(ALL:ALL) NOPASSWD: ALL

Comments

[Vadim Priluzkiy]

А потом забыть про это дело и небезопасный судоерс скопировать в устанавливаемую систему.

[jcmvbkbc]

Vadim Priluzkiy, можно и из vim забыть как выходить и остаться там навсегда.

[Vadim Priluzkiy]

jcmvbkbc, Можно и вообще не знать ;-).

Answer 2

[xotkot]

makepkg from the Arch ISO

да и зачем нагружать пользователя компиляцией ? вы хотите чтобы он уснул ?
у вас там browsh и ly-git ставятся из аура
в ауре есть же скомпиленные
https://aur.archlinux.org/packages/browsh-bin
https://aur.archlinux.org/packages/ly

да и правильнее наверное будет запускать установочный скрипт от суперпользователя, а уже в процессе если нужно запускать команды от выбранного пользователя или вообще лучше разнести на два скрипта в одном установка и настройка системы а во втором настройка пользователя

Answer 3

[Vadim Priluzkiy]

sudo -u username command
Не поможет отцу русской демократии?

Comments

[никто никак]

Не поможет как раз из-за этого

Есть одна очень неудобная команда, которую я использую в скрипте
makepkg -sri
Дело в том, что она не даёт запустить себя от root'a. Но в процессе её выполнения она сама вызывает sudo, которому я конечно же не могу задать параметр -S.

[Vadim Priluzkiy]

никто никак, Блин, думал такое прокатит... sudo -u user makepkg -sri < password.txt
Не прокатывает...

[Vadim Priluzkiy]

никто никак, Всё, ваша проблема решаема. И именно так как я сказал. Сначала делаем
sudo -u user makepkg -src
После того как пакет соберётся и мы вернёмся обратно в рута, устанавливаем его пакманом:
pacman -U --noconfirm packet_name

Пруф

Answer 4

[Karpion]

Тут уже много насоветовали, я добавлю:
Если "одна очень неудобная команда" вызывает sudo - то очевидно, в её документации д.б. описано, как работать в этом случае.

Comments

[никто никак]

В man'e не увидел. Он довольно примитивный.

[Karpion]

Ну, есть иные виды документации. Надо гуглить...

А можно и исходники почитать.

Answer 5

[Roman Sokolov]

Во-первых в sudoers можно прописать nopasswd для конкретной команды.
Во-вторых, не уверен, но попробуйте установить sticky bit для программы, которая просит пароль.

Comments

[никто никак]

Как я узнал из Википедии, sticky bit на скриптах игнорируется.

[Roman Sokolov]

никто никак, Для makepkg он не ставится?