Me encuentro con el siguiente error al intentar permitir que algunas variables de entorno pasen al nuevo entorno cuando se ejecuta sudo
:
sudo: sorry, you are not allowed to preserve the environment
Alguna información que puede ser útil para depurar:
[deploy@worker1 ~]$ sudo -l
Matching Defaults entries for deploy on this host:
requiretty, !visiblepw, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET
XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin, env_keep+="GIT_WORK_TREE GIT_DIR", !requiretty
User deploy may run the following commands on this host:
(ALL) NOPASSWD: /usr/bin/git, (ALL) /etc/init.d/httpd*, (ALL) /sbin/service, (ALL) /usr/bin/make, (ALL) /bin/echo
Mi ejemplo de ejecución:
[deploy@worker1 ~]$ export GIT_DIR="/home/ashinn/testing"
[deploy@worker1 ~]$ sudo -E sh -c 'echo "$GIT_DIR"'
sudo: sorry, you are not allowed to preserve the environment
Mi archivo sudoers.d para esta configuración específica:
Defaults:deploy env_keep += "GIT_WORK_TREE GIT_DIR", !requiretty
deploy ALL=(ALL) NOPASSWD: /usr/bin/git, /etc/init.d/httpd*, /sbin/service, /usr/bin/make, /bin/echo
También he intentado agregar !env_reset
a los valores predeterminados y todavía falla con el mismo error. Siento que me falta algo obvio y necesito un segundo par de ojos. ¿Que me estoy perdiendo aqui?
sudo
(option(s))
echo $GIT_DIR
sudo
$GIT_DIR
sudo
sudo printenv GIT_DIR
sudo env | grep GIT_DIR
sudo sh -c 'echo "$GIT_DIR"'
Respuestas:
Puede usar la
SETENV
"Etiqueta" en susudoers
archivo, como en:O, para combinarlo con NOPASSWD:
Extracto relevante del hombre de los sudoers:
fuente
No especifique la
-E
opción. Usando-E
usted está diciendo que todas las variables de entorno para el usuariodeploy
deben ser preservadas, no soloGIT_DIR
Correr
sudo echo $GIT_DIR
debería funcionar porque has agregadoGIT_DIR
a laenv_keep
listafuente