Назад | Перейти на главную страницу

Sensu выполняет скрипт sudo, требуется пароль

У меня есть обработчик sensu, который запускается на оконечной системе Linux (Centos 6.6. Вот сценарий, который я использую:

#!/bin/bash --login
sudo -n -u deploy bash --login -c "cd /var/www/vhosts/sc/current; pwd; BUNDLE_GEMFILE=/var/www/vhosts/sc/current/Gemfile RAILS_ENV=production bundle exec pumactl -F /var/www/vhosts/sc/shared/config/puma.rb stop "
sudo -n -u deploy bash --login -c "cd /var/www/vhosts/sc/current; pwd; BUNDLE_GEMFILE=/var/www/vhosts/sc/current/Gemfile RAILS_ENV=production bundle exec pumactl -F /var/www/vhosts/sc/shared/config/puma.rb start "

Запуск этого сценария локально, поскольку другой пользователь работает нормально, и я могу заставить puma нормально перезапуститься. Даже когда я даю сенсу оболочку и выполняю сценарий на конечной точке.

Когда он запускается с сервера sensu, я получаю вывод:

{"timestamp":"2016-04-18T16:45:17.581962-0500","level":"info","message":"handler output","handler":{"type":"pipe","command":"/bin/sh /etc/sensu/handlers/puma_restart.sh","name":"puma_restart"},"output":["sudo: a password is required\n","sudo: a password is required\n"]}

Я подумал, что это может быть проблема с sudoers, поэтому вот моя настройка:

Defaults:sensu !requiretty
Defaults:sensu secure_path = /usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
sensu ALL = NOPASSWD: /etc/sensu/handlers/puma_restart.sh

Я также пробовал установить sudo NOPASSWORD для всех команд, например:

sensu  ALL=(ALL)       NOPASSWD: ALL

Но я все равно получаю сообщение об ошибке при запуске скрипта.

Кто-нибудь знает, что я неправильно настроил? Если вам нужна дополнительная информация или контекст, дайте мне знать.

Эта первая конфигурация sudoers с sensu ALL = NOPASSWD: /etc/sensu/handlers/puma_restart.sh не будет делать то, что вы хотите. Это дает права на sensu пользователь для вызова оболочки puma_restart.sh скрипт с sudo. Однако команды sudo находятся внутри этого сценария и вызывают bash для выполнения команд. Вам нужно будет разрешить пользователю sensu вызывать bash через sudo.

Эта вторая конфигурация sudoers sensu ALL=(ALL) NOPASSWD: ALL должно сработать. Похоже, это может быть проблема с конфигурацией sudoers.

Несколько вещей, которые могут помочь вам продвинуться дальше:

  • Эти проверки выполняются на сервере sensu или на клиенте? Убедитесь, что вы помещаете конфигурацию sudoers в то место, где выполняется проверка.
  • Уберите вызовы sudo из скрипта. Удалите вызовы sudo изнутри скрипта и добавьте sudo к команде проверки sensu: sudo puma_restart.sh Эта первая конфигурация sudoers должна работать с этим подходом.
  • Выполните отладку конфигурации sudoers.
    • Бегать sudo -l -U sensu на хосте клиента sensu, чтобы узнать, какие права предоставляют конфигурации sudoers. Если для всех ваших команд включена функция без пароля, вы должны получить что-то, включая следующее. Если нет, то это проблема конфигурации sudoers. User sensu may run the following commands on this host: (root) NOPASSWD: ALL