免用 Sudo 执行 Bash 脚本的实用指南73

在 Linux 系统管理中，经常需要执行具有提升权限的命令或脚本。传统上，这可以通过使用 sudo 命令来实现，它允许用户以 root 用户身份暂时执行命令。然而，在某些情况下，希望避免使用 sudo 因为它的安全风险、便利性问题或其他限制。

本文提供了一份有关如何在不用 sudo 的情况下执行 Bash 脚本的全面指南。我们将探讨多种方法，包括设置 SUID 位、使用 setcap 命令和借助 doas 工具。这些方法适用于不同的场景，并且具有各自的优点和缺点。

方法 1：设置 SUID 位

设置 SUID 位是赋予文件或脚本所有者 root 权限的一种简单方法。这允许文件或脚本在执行时以所有者的权限运行，无需手动输入密码。要设置 SUID 位，请使用以下命令：```
chmod u+s script_name
```

例如，要为 脚本设置 SUID 位，请运行以下命令：```
chmod u+s
```

注意：设置 SUID 位会带来安全风险，因为它允许任何拥有该文件的人以 root 权限运行它。因此，仅在绝对必要时才应使用此方法，并且应仔细考虑其安全影响。

方法 2：使用 setcap 命令

setcap 命令允许为文件或脚本设置更精细的权限，包括能力。能力是一种特殊权限，可授予文件或脚本执行某些操作，例如访问网络或修改文件系统。要使用 setcap 授予脚本执行能力，请使用以下命令：```
setcap cap_sys_admin+ep script_name
```

例如，要授予 脚本执行能力，请运行以下命令：```
setcap cap_sys_admin+ep
```

与设置 SUID 位相比，使用 setcap 更加安全，因为它允许授予特定能力，而不是完全 root 权限。

方法 3：使用 doas 工具

doas 是一个命令行工具，它允许用户以提升的权限运行命令，而无需输入密码。doas 使用 PAM（Pluggable Authentication Modules）进行身份验证，这是一种灵活的框架，允许使用各种身份验证方法。要使用 doas 运行命令，请使用以下语法：```
doas command [arguments]
```

例如，要以 root 权限运行 脚本，请使用以下命令：```
doas
```

要使用 doas，必须在系统上安装它。它可以在大多数 Linux 发行版中使用包管理器进行安装。

最佳实践

在不用 sudo 执行 Bash 脚本时，应遵循以下最佳实践以确保安全和可靠性：
仅在绝对必要时才使用 SUID 位或 setcap。
最小化授予的权限，只授予脚本运行所需的能力。
使用 doas 或其他受 PAM 保护的工具进行身份验证，以提高安全性。
仔细审查脚本代码，确保没有安全漏洞或恶意代码。
定期审核和轮换提升权限的脚本的密码或密钥。

通过使用设置 SUID 位、使用 setcap 命令或借助 doas 工具，可以在不用 sudo 的情况下执行 Bash 脚本。每种方法都有其优点和缺点，并且适用于不同的场景。通过遵循最佳实践并仔细考虑安全影响，管理员可以安全且可靠地使用这些方法来执行提升权限的任务。

2024-12-14

上一篇：Shell 脚本解释器 Bash

下一篇：Bash 脚本中运行命令