シェルスクリプトからSUDOをより安全に実行する方法

Question

こんにちは私は実行していますSUDOシェルスクリプトから、ここから指示を受けています。しかし、私はそれが正しいか、より安全な方法で行われているかどうかを知りたい。それはいつか私のアカウントをロックする（私はパスを変更しようとすると）私は理由を知らない。

#!/bin/bash 
# set the STRING variable 
path=/u/siebel/abcdef/sie/sieb/ 
echo abcd | sudo -S /usr/bin/su - abcdef << EOF 
crontab -l > cronbackup1.txt 
#ls -lrt 
cd "$path" 
ls -lrt 
EOF 

上記のスクリプトはアカウントをロックしました。しかし、私がcdなしでそれを実行すると、うまくいきました。私は./testing.shを実行すると、それは私自身の3回間違ったパスワードを私に促し、ロックされているいくつかの1つは私はなぜ3回そこにスクリプトのループはありませんを実行する理由を説明することができますか？

これはcd "$ path"を設定した後に得られるものです。

Password: Sorry, try again. 
Password: Sorry, try again. 
Password: Sorry, try again. 
sudo: 3 incorrect password attempts 

同じパスワードのcrontabが正常に機能しました。あなたが行うと

Answer 1

は：cmdの

somecmd | cmd << EOF 
... 
EOF 

stdinは と何がパイプラインから来ているが読まれることはありません、ここでは、文書の内容になります。 stdoutのsomecmdは、何も読み取らずに終了します。

あなたの例では、sudoは、echoの代わりにhere-documentからパスワードを読み取ろうとしています。

つまり、sudoにパスワードを入力すると同時に、here-documentをそのシェルに渡すことはできません。

これらの2つのアクションは、 を別々に実行することで、タイムアウトオプションsudoを利用することができます。 つまり、sudoを正常に使用すると、 以降の認証された状態をしばらく覚えてから、sudoを呼び出しても、再度パスワードを尋ねることはありません。

echo abcd | sudo -S true 
sudo /usr/bin/su - abcdef << EOF 
crontab -l > cronbackup1.txt 
#ls -lrt 
cd "$path" 
ls -lrt 
EOF 

しかし、私はこれを行うには、あなたがないよう強くお勧めします。 パスワードをシェル内のクリアテキスト（ ）に渡すと、特にスクリプトではセキュリティが非常に悪いです。 他のユーザーアカウントで必要なアクションを実行し、sudoersを適切に設定するための専用スクリプトを作成する方がよいでしょう。