Companion项目本地Shell脚本执行权限问题解析

问题背景

在使用Companion 3.4.2版本在树莓派4上部署时，用户遇到了一个典型的权限管理问题。具体表现为：当尝试通过Companion的"Internal: Run Local Shell Script"功能执行本地脚本时，系统返回错误代码126（权限不足），尽管该脚本在终端中手动执行时工作正常。

技术原理分析

这个问题的核心在于Linux系统的用户权限模型和Companion服务的运行机制：

1. Companion服务运行用户：默认情况下，Companion服务以companion用户身份运行，而不是常见的pi用户。

2. Linux文件权限模型：要执行一个脚本，不仅需要脚本文件本身有可执行权限，还需要用户对脚本所在路径的所有父目录具有执行权限（即可以进入目录）。

3. SSH密钥访问：用户配置的SSH密钥是存储在pi用户下的，而companion用户无法访问这些密钥文件。

解决方案

针对这一问题，有以下几种可行的解决方案：

方案一：调整脚本存放位置

将脚本移动到companion用户可以访问的目录，如：

sudo mv /home/pi/shutdown_satellite.sh /opt/
sudo chown companion:companion /opt/shutdown_satellite.sh
sudo chmod +x /opt/shutdown_satellite.sh

方案二：修改目录权限

如果必须将脚本保留在pi用户目录下，可以修改目录权限：

sudo chmod o+rx /home/pi
sudo chmod o+rx /home/pi/shutdown_satellite.sh

方案三：使用专用目录

最佳实践是创建一个专门用于共享脚本的目录：

sudo mkdir /usr/local/companion-scripts
sudo chown pi:companion /usr/local/companion-scripts
sudo chmod 775 /usr/local/companion-scripts

安全注意事项

1. 权限分配应遵循最小权限原则，不要过度放宽权限。

2. 对于需要sudo权限的操作，建议使用visudo配置特定的命令白名单。

3. SSH密钥应妥善保管，避免权限设置不当导致的安全风险。

最佳实践建议

1. 为Companion相关脚本创建专用用户和组，实现更精细的权限控制。

2. 考虑使用systemd服务来管理需要特权的操作。

3. 在脚本中加入详细的日志记录，便于问题排查。

4. 对于跨设备操作，建议使用Companion的SSH模块而非本地脚本调用。

通过理解这些权限管理原则，用户可以更安全有效地在Companion项目中实现自动化脚本执行功能。