sudo-rs项目中关于sudoers文件循环包含问题的技术分析

问题背景

在sudo-rs（一个用Rust实现的内存安全版sudo工具）的使用过程中，用户报告了一个关于sudoers配置文件解析的异常行为。当用户执行sudo-rs命令时，系统会持续报错提示"/etc/sudoers.d/sudoers"文件包含层级达到上限，而传统的sudo命令则没有这个问题。

问题现象分析

通过用户提供的系统环境信息和配置文件内容，我们可以清晰地看到问题的具体表现：

1. 每次使用sudo-rs时都会收到错误提示："include file limit reached opening '/etc/sudoers.d/sudoers'"
2. 错误指向sudoers文件中的"@includedir /etc/sudoers.d"指令
3. 传统sudo命令没有这个问题，但visudo -c检查也显示类似警告

根本原因

经过深入分析，问题的根源在于sudoers配置文件中存在循环包含的结构：

1. 主配置文件/etc/sudoers包含指令"@includedir /etc/sudoers.d"
2. 用户将/etc/sudoers文件复制到了/etc/sudoers.d目录下，命名为sudoers
3. 这个新文件同样包含"@includedir /etc/sudoers.d"指令
4. 导致解析器陷入无限循环：A包含B，B又包含A

技术细节

1. 包含机制：sudoers文件支持通过@includedir指令包含其他目录下的配置文件，这是为了模块化管理权限设置

2. 保护机制：sudo-rs和传统sudo都实现了包含层级的保护，防止无限循环，默认限制为一定层数（通常为10层）

3. 行为差异：虽然两者都会报错，但sudo-rs更严格地执行了包含层级的检查，而传统sudo可能在某些情况下表现得更为宽容

4. 文件权限：值得注意的是，/etc/sudoers及其包含的文件都应保持严格的权限设置（如示例中的440权限）

解决方案

1. 正确做法：不应将主sudoers文件复制到包含目录中，/etc/sudoers.d目录应只包含额外的权限片段

2. 修复步骤：

   • 删除/etc/sudoers.d/sudoers文件
   • 使用visudo命令单独编辑需要添加的权限配置
   • 运行visudo -c验证配置文件的正确性

3. 最佳实践：

   • 保持主sudoers文件简洁，只包含基本配置
   • 将特定用户或组的权限配置放在/etc/sudoers.d下的单独文件中
   • 始终使用visudo编辑配置文件，避免语法错误和权限问题

深入理解

这个问题实际上揭示了sudo权限管理系统的一个重要特性：配置文件的模块化管理。设计良好的sudoers配置应该：

1. 主文件定义基础规则和默认值
2. 包含目录中的文件按功能或用户组组织特定规则
3. 避免交叉引用和循环依赖
4. 每个片段文件应有明确单一的功能

sudo-rs作为新一代实现，在安全性方面更为严格，这解释了为什么它会比传统sudo更早地报告这个问题。这种行为实际上是有益的，可以帮助管理员更早地发现配置中的潜在问题。

总结

这个案例展示了配置文件管理中的常见陷阱，也体现了sudo-rs在安全性方面的进步。作为系统管理员，理解sudoers文件的包含机制和正确使用方式至关重要。通过遵循最佳实践，可以构建既安全又易于维护的权限管理系统。