Я хочу создать AMI AWS с помощью упаковщика. Частью процесса установки является запуск сценария сборки, который устанавливает службы и настраивает среду для обычного пользователя системы, который не является пользователем root. Сценарий установки в основном выглядит так:
# some cmds that need to be run by averagejoe
echo "alias ll='ls -Alfh'" > $HOME/.bashrc
# some cmds that need to be run by a privileged user
sudo firewall-cmd --zone=public --permanent --add-port=3389/tcp
Таким образом, часть скрипта должна выполняться как системный пользователь averagejoe, часть скрипта должна выполняться как привилегированный пользователь с использованием sudo. Следовательно, запуск всего скрипта от имени привилегированного пользователя, как предлагается Вот не вариант.
Как я могу предоставить sudo pwd, когда сценарий запускается поставщиком упаковщика? Я подумал о трехэтапном подходе, сначала перенастроив sudo, чтобы не требовать пароль, затем запустить сценарий установки и затем сбросить sudo на запрос паролей, но есть ли что-нибудь более элегантное?
В итоге я отключил пароли sudo на время выполнения сценария установки, например:
"provisioners": [
{
"type": "shell",
"script": "project/packer/pwd_less_sudo.sh",
"execute_command": "echo {{user `password`}} | sudo -S bash -c '{{ .Path }}'"
},
{
"type": "shell",
"script": "project/scripts/bootstrap.sh",
"execute_command": "{{ .Path }} --branch feature/ods-devenv"
},
{
"type": "shell",
"script": "project/packer/pwd_sudo.sh",
"execute_command": "echo {{user `password`}} | sudo -S bash -c '{{ .Path }}'"
}
]
где pwd_less_sudo.sh - это
#!/usr/bin/env bash
# make wheel pwd free
sudo sed -i '0,/%wheel[[:space:]]*ALL=(ALL)[[:space:]]*ALL/{s||%wheel ALL=(ALL) NOPASSWD: ALL|}' /etc/sudoers
а pwd_sudo.sh - это
#!/usr/bin/env bash
# give wheel their pwd back
sudo sed -i '0,/%wheel[[:space:]]*ALL=(ALL)[[:space:]]*NOPASSWD:[[:space:]]*ALL/{s||%wheel ALL=(ALL) ALL|}' /etc/sudoers