Linuxsudo免密执行脚本技巧

本文深入解析了在Linux系统中安全配置sudo免密执行脚本的完整实践方案，强调仅授权无参绝对路径、严格校验脚本所有权与权限（root所有+0755）、强制脚本内SHA256完整性验证及外部命令绝对路径调用，并推荐通过/etc/sudoers.d/目录进行模块化、防误配的配置管理，同时不可忽视日志审计这一关键兜底措施——每一步都直击常见配置漏洞（如参数注入、路径遍历、脚本篡改），真正实现“免密不降安”，让自动化运维既高效又牢不可破。

sudoers 中只写绝对路径，别带参数或通配符

授权脚本免密执行，sudoers 里必须用完整绝对路径，比如 /opt/scripts/backup.sh。写成 backup.sh、./backup.sh 或 /opt/scripts/*.sh 都不生效，而且可能被绕过。

更关键的是：不能加任何参数。像 /opt/scripts/deploy.sh staging 这种写法看似方便，实际等于开放命令注入入口——用户只要执行 sudo /opt/scripts/deploy.sh staging; rm -rf /，只要脚本没做严格输入过滤，就可能触发恶意操作。

sudo 对命令行做前缀匹配，不是全等匹配。所以哪怕你写了 /opt/scripts/deploy.sh staging，以下调用也都被放行：

• sudo /opt/scripts/deploy.sh staging --help
• sudo /opt/scripts/deploy.sh staging$(cat /etc/shadow)

正确做法是：sudoers 只授权无参脚本路径；环境差异（staging/prod）由脚本内部读配置文件或环境变量决定，不依赖 sudo 参数传递。

脚本自身必须 root 所有 + 0755 权限

光在 sudoers 里加一行不够。脚本文件本身得满足三个硬性条件：

• 属主必须是 root：sudo chown root:root /opt/scripts/backup.sh
• 权限必须是 0755（即 rwxr-xr-x），普通用户不可写：sudo chmod 0755 /opt/scripts/backup.sh
• 如果脚本读取配置文件（如 /etc/backup.conf），该配置文件也必须是 root:root 且权限 ≤ 0600

否则，普通用户可直接修改脚本内容，把 rsync 换成 rm -rf /，再调用一次 sudo /opt/scripts/backup.sh 就完成提权。

脚本开头校验 SHA256 哈希 + 外部命令路径

路径和权限控制只是第一道防线。攻击者仍可能替换脚本内容后重放。所以建议在脚本第一行加入完整性校验：

[[ "$(sha256sum "$0" | cut -d' ' -f1)" == "$(cat /etc/backup.sh.sha256 2>/dev/null)" ]] || { echo "ERROR: script tampered"; exit 1; }

其中 /etc/backup.sh.sha256 是预先用 sha256sum /opt/scripts/backup.sh > /etc/backup.sh.sha256 生成的哈希文件，权限设为 644，仅 root 可写。

同时，所有外部命令（如 rsync、date）不能依赖 PATH 查找，必须显式校验路径：

• command -v rsync | grep -q '^/usr/bin/rsync$' || exit 1
• 后续全部使用绝对路径：/usr/bin/rsync、/bin/date、/bin/cp

或者统一定义变量：RSYNC=/usr/bin/rsync，后面只用 $RSYNC。

优先用 /etc/sudoers.d/xxx 而非直接改 /etc/sudoers

直接编辑 /etc/sudoers 风险高：语法错一个字符，整个 sudo 就瘫痪。官方推荐做法是走 /etc/sudoers.d/ 目录：

• 用 sudo visudo -f /etc/sudoers.d/90-backup-nopasswd 创建独立配置文件
• 内容只写一行：alice ALL=(root) NOPASSWD: /opt/scripts/backup.sh
• 立即设权限：sudo chmod 0440 /etc/sudoers.d/90-backup-nopasswd
• 文件名不能含点号或下划线（如 backup.conf 或 backup_nopasswd 不会被加载）

验证是否生效：sudo -U alice -l 应只显示你刚授权的那条命令；sudo -n -u alice /opt/scripts/backup.sh 测试非交互式执行是否真免密。

最易被忽略的一点：日志审计。确认 /var/log/auth.log 或 /var/log/secure 真的记录了每次调用，包含完整命令路径、用户、时间戳——否则出了问题连谁干的都查不到。

今天关于《Linuxsudo免密执行脚本技巧》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！