Je rencontre l'erreur suivante en essayant d'autoriser des variables d'environnement à passer à travers le nouvel environnement lors de l'exécution Sudo
:
Sudo: sorry, you are not allowed to preserve the environment
Quelques informations pouvant être utiles pour déboguer:
[deploy@worker1 ~]$ Sudo -l
Matching Defaults entries for deploy on this Host:
requiretty, !visiblepw, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET
XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin, env_keep+="GIT_WORK_TREE GIT_DIR", !requiretty
User deploy may run the following commands on this Host:
(ALL) NOPASSWD: /usr/bin/git, (ALL) /etc/init.d/httpd*, (ALL) /sbin/service, (ALL) /usr/bin/make, (ALL) /bin/echo
Mon exemple de course:
[deploy@worker1 ~]$ export GIT_DIR="/home/ashinn/testing"
[deploy@worker1 ~]$ Sudo -E sh -c 'echo "$GIT_DIR"'
Sudo: sorry, you are not allowed to preserve the environment
Mon fichier sudoers.d pour cette configuration spécifique:
Defaults:deploy env_keep += "GIT_WORK_TREE GIT_DIR", !requiretty
deploy ALL=(ALL) NOPASSWD: /usr/bin/git, /etc/init.d/httpd*, /sbin/service, /usr/bin/make, /bin/echo
J'ai aussi essayé d'ajouter !env_reset
Pour les valeurs par défaut et il échoue toujours avec la même erreur. J'ai envie de manquer quelque chose d'évident et d'avoir besoin d'un deuxième ensemble d'yeux. Qu'est-ce que j'oublie ici?
Vous pouvez utiliser l'SETENV
"tag" dans votre fichier sudoers
, comme dans:
deploy ALL=(ALL) SETENV: /usr/bin/git, /etc/init.d/httpd*, /sbin/service, /usr/bin/make, /bin/echo
Ou, pour le combiner avec NOPASSWD:
deploy ALL=(ALL) NOPASSWD:SETENV: /usr/bin/git, /etc/init.d/httpd*, /sbin/service, /usr/bin/make, /bin/echo
Extrait pertinent de l'homme sudoers:
Setenv et nosetenv
Ces balises remplacent la valeur de l'option Setenv sur une base par commande. Notez que si SetenV a été défini pour une commande, l'utilisateur peut désactiver l'option ENV_RESET à partir de la ligne de commande via la-Option. De plus, les variables d'environnement définies sur la ligne de commande ne sont pas soumises aux restrictions imposées par
env_check
,env_delete
, ou alorsenv_keep
. En tant que tel, seuls les utilisateurs de confiance devraient être autorisés à définir des variables de cette manière. Si la commande correspondante est tout, la balise Setenv est impliquée pour cette commande; Cette défaillance peut être remplacée par l'utilisation de la balise NOSETENV.
Ne spécifiez pas le -E
option. En utilisant -E
Vous dites que toutes les variables d'environnement pour l'utilisateur deploy
devraient être préservées, non seulement GIT_DIR
En cours Sudo echo $GIT_DIR
devrait fonctionner parce que vous avez ajouté GIT_DIR
à la env_keep
liste