Монтирование через sudo

В скрипте sudo, оно требует пароль.

А что в sudoers можно прописать конкретные программы, которым sudo будет доступен без пароля?

а без него посылает нафик и не даёт смонтировать

ну тут написано https://ru.stackoverflow.com/questions/968175/%D0%9A%D0%B0%D0%BA-%D0%B2%D1%8B%D0%BF%D0%BE%D0%BB%D0%BD%D0%B8%D1%82%D1%8C-%D0%B7%D0%B0%D0%BF%D1%83%D1%81%D0%BA-%D1%81%D0%BA%D1%80%D0%B8%D0%BF%D1%82%D0%B0-%D0%BE%D1%82-%D1%81%D1%83%D0%BF%D0%B5%D1%80%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D1%82%D0%B5%D0%BB%D1%8F-%D0%B1%D0%B5%D0%B7-%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D1%8F

но увы по скрипту где указан судо не работает

Так может тебе надо убрать sudo из самого скрипта и его запускать через sudo?

sudo /home/user/usb.sh

Попробуйте убрать (ALL). По-моему оно лишнее.

user   ALL=NOPASSWD: /home/user/usb.sh

Ещё более точно попробуйте так (это рабочий вариант из моего конфига):

Cmnd_Alias USBSH=/home/user/usb.sh
user ALL=NOPASSWD: USBSH

не прокатило, спрашивает пароль

А sudo /home/user/usb.sh спрашивает пароль?

тут будет юзер запускать как ярлык программы, ему консолька не нужна)) без судо дело не пойдёт

Я так понимаю вам надо указать путь к usbip а не к usb.sh.

Я просто для проверки что делает ваш конфиг sudoers. Как шаг на пути к желаемому результату.

если судо в скрипте убираем и пишем через судо и скрипт, то ошибка sudo: usb.sh: command not found

так что в скрипте судо палюбасу надо

sudo: usb.sh: command not found

Ну это вы не правильно sudo запускаете. Я же не знаю по какому пути он у вас и есть ли он в $PATH. sudo ./usb.sh наверное.

sudo ./usb.sh а так слопал

можно прописать всю команду вместе с параметрами в sudoers на беспарольный запуск.

user   ALL=(ALL) NOPASSWD: /usr/bin/usbip attach -r 192.168.13.41 -b 1-1

и тогда будет беспарольно запускаться только данная строчка $ sudo usbip attach -r 192.168.13.41 -b 1-1
запуск usbip с другими параметрами будут обрабатываться другими правилами, т.е. будет парольным

итого как сделать приятно пользователю, чтоб он не знал что такое консоль

Ну вот. Теперь делайте:

which usbip

И вывод записывайте в sudoers вместо /home/user/usb.sh

в выводе /usr/bin/usbip

Его и записывайте.

А разве так он не воспримет каждый аргумент как ещё одну команду которой можно без пароля?

а кто его знает подвожу итоги:

команда в скрипте sudo usbip attach -r 192.168.13.41 -b 1-1

и судорес sudo visudo

sisastra ALL=(ALL) NOPASSWD: /usr/bin/usbip

скрипт работает, спасибо!

неа, список команд разделяется запятыми.

Ну и отлично, пожалуйста!

если тебя устраивает что sudo usbip с любыми параметрами теперь запускается от имени root без пароля - то ок :)

Понял, спасибо, буду знать.

Ещё одна жертва sudo.

user ALL=(ALL) NOPASSWD: /home/user/usb.sh

Вообще круто.

А без рута есть другие технологии монтирования? а то тут все серты от всех юзеров вылезут у каждого юзера, даже если запускать монтирование по потребности, а не по автозапуску в сессию

все токены попадают при рутовском маунте в текущем пользователе /dev/bus/usb/005 и имя файла -005

usbip тоже добавь в sudoers. А скрипт как раз можешь оттуда убрать.

Ещё одна жертва sudo.

Для общего развития, подскажи вариант без sudo.

истиноТруЮниксВейно $ echo %пароль от рут% | su траляля
ну или правоверный вариант от firkax - написать прогу на си, скампелять и повесить на бинарь suid.

истиноТруЮниксВейно

Не секьюрно.

повесить на бинарь suid

Не секьюрно.

Насчёт жертвы я имел ввиду то, что он, будучи уже ментально повреждён sudo-идеологией, пытался выдать рутовые права скрипту в $HOME. Последствия очевидны: скрипт редактируется в дальнейшем как угодно, и через него выполняется что угодно. Выдача таких прав usbip, посоветованная кем-то позже, немногим лучше: этим выдаются права на все действия, которые может сделать эта программа, а для этого надо как минимум их всех внимательно просмотреть, чтобы удостовериться, что среди них нет ни одного, которое можно использовать для незапланированной вредоносной деятельности.

Да, единственный нормальный вариант это писать обёртку с suid-root. Обёртка должна проверять, что именно этот набор аргументов допустим для запросившего это действие юзера (getuid() для suid-прог возвращает uid запустившего), и только после этого делать нужное действие. Ну или проще: если разрешённый вариант аргументов только один, пусть обёртка сразу его и вызывает а своих входных аргументов не имеет).

sudo тоже может выполнять роль такой обёртки, но его методы проверки (строковое сравнение команды с шаблонами) плохие, сравнивать надо не строки а их функциональное содержание.

Ну, вместо suid на бинарь можно повесить CAP_NET_ADMIN, в отличии от запуска скрипта через sudo.

Не секьюрно.

Безопасность — это миф. И suid на бинарь не создаёт проблемы, проблемы создают ошибки в этом бинаре, которые ещё надо найти. Одно дело общераспространённые бинарники Линукс дистрибутивов, а другое дело уникальный бинарник, исходники от которого припрятаны.

А насчёт «жертвы sudo» согласен. ТС запускал скрит через sudo и в сам скрипт пихал вызов usbip через sudo. Ubuntu повредела мозг людям, они теперь везде sudo пихают.

это последствия употребления тяжелых наркотиков? Пароль через эхо в скрипте в явном виде писать. Вот это трушность! Вот это юниксвей!

Ну, вместо suid на бинарь можно повесить

Который слетит при следующем обновлении пакета.

Безопасность — это миф

Абсолютная безопасность - миф.

они теперь везде sudo пихают.

Ехал sudo, через sudo …

Сейчас у файла есть ambient capabilities, поэтому CAP_NET_ADMIN можно ставить на простой самописный бинарь, который будет только вызывать usbip с нужным параметрами и ничего другого не делать.