И лично мне json удобнее и понятнее yaml, но я не работаю с файлами по 10к строк, конечно

Time to Drink!

​Тут говорят, что /bin/bash юбилей отмечает. Аж 32 годика. И в честь такой прекрасной даты все развлекаются примерно так:

Хэлп) Хочу написать скрипт, который буду запускать от обычного пользователя.
Но сам скрипт должен будет лезть в логи, для доступа к которым нужен sudo
Пробовал такое:

read -s -p "Enter Pass for sudo: " SUDOPW
echo "$SUDOPW" | sudo cat /var/log/secure

Но он все равно спрашивает пароль

up: нашел, нужно было параметр -S передать)

Хранить пользовательский пароль в переменной это довольно странно и не очень-то безопасно
Можно сделать так:

sudo -p "Enter Pass for sudo: " cat /var/log/secure

Спасибо. Дельное замечание)

Я бы лучше разрешил ему read на соответствующие файлы, заодно это не даст право менять файл как sudo. Либо если с правами на файл сложно то настроил бы sudoers соответствующим образом: useRName        ALL=(root) NOPASSWD: /usr/bin/cat /var/log/secure

Нет предела совершенству)
Мне было интересно, как это в принципе можно реализовать внутри скрипта, вот и искал "свои" способы

вчера был

Cat без ввода пароля от рута. Раньше за такое на конюшне пороли.

а в чем подвох?

на конкретный файл самое то

Ну если так то да.

Коту нельзя давать суид или nopasswd, потому что тогда атакующий может прочесть, скажем, /etc/shadow

ну прочтет он shadow и узнает юзеров на системе
а дальше что?

хэши паролей

да, я не заметил, что ты пишешь с аргументом. Никогда так не делал. Ман по этому поводу забавный:


    Wildcards in command line arguments should be used with care.
    Command line arguments are matched as a single, concatenated string.  This mean a wildcard character such as ‘?’ or ‘*’ will match across word boundaries, which may be unexpected.  For example, while a
    sudoers entry like:

        %operator ALL = /bin/cat /var/log/messages*

    will allow command like:

        $ sudo cat /var/log/messages.1

    It will also allow:

        $ sudo cat /var/log/messages /etc/shadow

    which is probably not what was intended.  In most cases it is better to do command line processing outside of the sudoers file in a scripting language.

ну когда у тебя пасс qwerty, то да по SHA-512 быстро найдется пароль
но обычно это не так

1. Если у тебя система старая, то не все хэши ша-512. Открой свой - я уверен, что там не все пароли с $6$
2. Радужные таблицы. У тебя все пароли больше десяти символов?
3. Зачем облегчать атакующему жизнь? Хочет брутфорсить - пусть долбится в наши логи и fail2ban