Un programma può dire che viene eseguito su sudo?

Ho un programma che dovrebbe comportarsi diversamente se viene eseguito in "sudo". C'è un modo in cui può scoprire se è stato eseguito su sudo?

Aggiornamento: qualcuno ha chiesto perché dovrei voler fare questo. In questo caso, su un Mac che utilizza MacPorts c'è un output che ti dice di tagliare e incollare un comando particolare. Se il comando MacPorts è stato eseguito con "sudo", dovrebbe includere sudo nel comando di esempio:

$ sudo port selfupdate 
--->  Updating MacPorts base sources using rsync
MacPorts base version 2.2.1 installed,
MacPorts base version 2.2.1 downloaded.
--->  Updating the ports tree
--->  MacPorts base is already the latest version

The ports tree has been updated. To upgrade your installed ports, you should run
  port upgrade outdated

^^^^^^^^^ it would be really sweet if it output "sudo port upgrade outdated" instead.  It would be even better if it just did it for you :-)

Sì, ci sono 4 variabili d'ambiente impostate quando un programma è in esecuzione su sudo:

$ sudo env |grep SUDO
SUDO_COMMAND=/usr/bin/env
SUDO_USER=tal
SUDO_UID=501
SUDO_GID=20

Si noti che questi possono essere falsificati semplicemente impostandoli. Non fidarti di loro per qualcosa di critico.

Ad esempio: in questo programma dobbiamo dire all'utente di eseguire qualche altro programma. Se quello attuale è stato eseguito con sudo, anche l'altro lo sarà.

#!/bin/bash

echo 'Thank you for running me.'

if [[ $(id -u) == 0 ]]; then
  if [[ -z "$SUDO_COMMAND" ]]; then
    echo 'Please now run: next_command'
  else
    echo 'Please now run: sudo next_command'
  fi
else  echo 'Error: Sadly you need to run me as root.'
  exit 1
fi

Nota che verifica solo una variabile SUDO_ * se può prima provare che è in esecuzione come root. Anche allora lo usa solo per cambiare del testo utile.

Questo non risponde direttamente alla domanda, ma non credo che la domanda giusta sia stata posta qui. Mi sembra che il richiedente richieda un programma che agirà in modo diverso presumibilmente se ha determinate autorizzazioni o meno, tuttavia direi che controllare sudo non è il modo di farlo. Innanzitutto molti sistemi potrebbero non implementare un "sudo", non è assolutamente necessario su Linux o su molti Unix.

Ad esempio, un utente può essere già registrato come root, rendendo il sudo privo di senso o forse il sistema ha utenti non root che hanno ancora capacità di eseguire l'attività amministrativa che il programma potrebbe voler fare. Infine, forse il sistema non ha alcun root o sudo e utilizza invece un sistema di controllo degli accessi obbligatorio con funzionalità diverse e non intercetta tutti i superutente sudo. Oppure l'utente potrebbe essere sottoposto a sudo, ma in un account che dispone di autorizzazioni senza licenza rispetto al proprio account per motivi di sicurezza (spesso eseguo codice non attendibile con un utente temporaneo senza privilegi che può solo scrivere su ramdisk per abbandonare, non aumentare le mie autorizzazioni ). Nel complesso è una cattiva idea assumere un modello di autorizzazioni specifico come sudo o l'esistenza di root o assumere che un utente sudoed abbia qualche privilegio particolare.

Se vuoi scoprire se disponi delle autorizzazioni per eseguire un'operazione, il modo migliore è di solito semplicemente provare a farlo, quindi controlla errno per problemi con le autorizzazioni se fallisce o se si tratta di un'operazione a più fasi che deve fallire o avere successo puoi verificare se un'operazione funzionerà con funzioni come la funzione di accesso POSIX (fai attenzione alle possibili condizioni di gara qui se i permessi vengono cambiati attivamente)

Se in aggiunta hai bisogno di conoscere l'utente reale dietro a sudo puoi usare la funzione getlogin che dovrebbe funzionare per qualsiasi sessione interattiva con un terminale sottostante e ti permetterebbe per esempio di trovare chi sta 'veramente' eseguendo il comando per il controllo o trovare il home directory dell'utente reale per salvare i registri.

Infine, se quello che vuoi davvero è scoprire se un utente ha accesso al root (ancora una cattiva idea ma meno specifica per l'implementazione) puoi usare getuid per controllare un uid di 0 e quindi root.

Esistono due meccanismi che possono essere utilizzati.

• Il controllo delle variabili di ambiente può essere simulato in entrambi i modi, ma è il più semplice da fare. growisofsnon mi piace correre sotto SUDO, quindi ho disinserito le variabili SUDO negli script in cui lo uso. Può essere simulato in altro modo. (La variabile SUDO viene inoltre trasportata nell'ambiente per gli script eseguiti con i comandi at e batch.)
• Un altro modo per vedere se si sta eseguendo sudo è quello di percorrere l'elenco dei processi dal proprio processo padre alla ricerca di sudo. Sarebbe difficile nascondere che stavi correndo sotto sudo in questo modo, ma è più complesso. È ancora possibile fingere che si stia eseguendo sudo.

È più comune verificare se si sta eseguendo l'utente appropriato. Il idcomando può essere usato per fare questo. Lo script di TomOnTime utilizza il idcomando per determinare se sudopotrebbe essere necessario eseguire il comando successivo.

È possibile confrontare l'ID utente effettivo con quello reale.

Ciò non significa strettamente che sia in esecuzione annulla sudo (potrebbe anche essere impostato), ma indica che il programma ha più diritti di quanto l'utente possa aspettarsi. (ad esempio in un programma che viene normalmente eseguito senza tali diritti, ma deve essere eseguito con essi durante l'installazione o per installare gli aggiornamenti. Quindi, è possibile utilizzare questo per fornire un feedback di avviso in merito).

È possibile controllare la variabile UID (EUID) effettiva, come segue:

if [[ $EUID -eq 0 ]]; then
    echo "running as root"
else
    echo "not running as root"
fi

È possibile toccare un file /roote quindi if -e. E se -e è vero, rm(controllando il codice di errore) in modo che il test funzioni la prossima volta.

Controllare il codice di errore (o il codice di ritorno) dopo che rm impedisce a qualcuno di usare facilmente i poteri sudo per creare il file per riprodurre uno scherzo su di te.

Ho scoperto che questo funziona bene per questo

[ $(cat /proc/$PPID/loginuid) -ne 0 ] && [ "$USER" == "root" ]