如何在没有sudo的情况下执行“iftop”

Question

我有一个脚本，它在文本模式下运行iftop，将输出减少到我所关心的内容，并将其与date命令的输出一起保存到文本文件中(随着时间的推移，我将监视各种接口上的网络使用情况)。唯一的问题是，我试图通过crontab每15分钟运行一次脚本，为了运行iftop命令，我需要sudo权限。是否有人知道如何更改iftop的权限以使我不需要sudo权限？

或者，如果我可以赋予脚本使用sudo运行命令的能力，我也可以这样做。我尝试通过sudo visudo将脚本添加到sudoers文件并添加行：

user ALL=(ALL) NOPASSWD: /home/user/network_usage.sh

但这不是work...perhaps从crontab执行的结果吗？

谢谢,

-Eric

Answer 1

您可以使用root的crontab来运行脚本。如果您使用的不是crontab -e，而是sudo crontab -e，那么您将编辑root的crontab。该文件中指定的任务将在root帐户和权限下运行。

或者，您可以为脚本文件设置setuid访问标志。为此，首先将文件的所有者更改为root，然后启用setuid，如下所示：

sudo chown root /home/user/network_usage.sh
sudo chmod +s-w /home/user/network_usage.sh

setuid位使可执行文件与其所有者的有效UID一起运行。

无论您采取什么方法，都要非常小心地使用。

• 让您的脚本由root拥有，不要让任何其他用户向它写入，否则它可能会减少权限提升。
• 注意你的setuid程序的副作用。如果脚本具有setuid，并且可以创建或修改文件，则其他人可能会使用它来修改或创建他们不应该使用的文件。在给未编写的程序提供setuid之前，请始终检查手册。

Answer 2

一种更细粒度的方法是使用：

# setcap cap_net_raw=eip $(which iftop)

这样，如果顶部捕获数据包，但不授予进程完全根权限。如果出现安全问题或错误与"iftop“，其副作用将是非常有限的。

相关：https://unix.stackexchange.com/questions/189750/how-can-i-run-script-without-root-to-sniff-network-libpcap

Answer 3

如果您可以以快速和肮脏的方式访问机器上的根用户：

chmod +s $(which iftop)

这将使它运行w/ root特权，而不管是谁调用它。但是我仍然认为像这样的sudo应该能工作。