правильний спосіб судо над ssh

У мене є сценарій, який запускає інший скрипт через SSH на віддаленому сервері за допомогою sudo. Однак, коли я набираю пароль, він відображається на терміналі. (Інакше це добре працює)

ssh user@server "sudo script"

Який правильний спосіб це зробити, щоб я міг вводити пароль для sudo над SSH, не з'являючись при введенні пароля?

Інший спосіб - використовувати -tперемикач для ssh:

ssh -t user@server "sudo script"

Дивіться man ssh:

 -t      Force pseudo-tty allocation.  This can be used to execute arbi-
         trary screen-based programs on a remote machine, which can be
         very useful, e.g., when implementing menu services.  Multiple -t
         options force tty allocation, even if ssh has no local tty.

Мені вдалося повністю автоматизувати його за допомогою наступної команди:

echo pass | ssh -tt user@server "sudo script"

Переваги:

• немає запиту про введення пароля
• не відображатиметься паролем у історії баш віддаленої машини

Що стосується безпеки: як сказав Курт , запуск цієї команди покаже ваш пароль у вашій локальній історії bash, і краще зберегти пароль в іншому файлі або зберегти всю команду у .sh-файлі та виконати її. ПРИМІТКА. Файл повинен мати правильні дозволи, щоб доступ до нього мали лише дозволені користувачі.

Якщо припустити, що вам не потрібно запитувати пароль :

ssh $HOST 'echo $PASSWORD | sudo -S $COMMMAND'

Приклад

ssh me@localhost 'echo secret | sudo -S echo hi' # outputs 'hi'

Судо над SSH, передаючи пароль, не потрібно:

Ви можете використовувати sudo over ssh, не змушуючи ssh мати псевдо-tty (без використання перемикача ssh "-t"), сказавши sudo не вимагати інтерактивного пароля та просто схопити пароль від stdin. Ви робите це за допомогою перемикача "-S" на sudo. Це змушує судо прослуховувати пароль на stdin і перестати слухати, коли він побачить новий рядок.

Приклад 1 - Проста віддалена команда

У цьому прикладі ми надсилаємо просту whoamiкоманду:

$ ssh user@server cat \| sudo --prompt="" -S -- whoami << EOF
> <remote_sudo_password>
root

Ми говоримо sudo не видавати підказку, а брати його з stdin. Це робить пароль sudo абсолютно безшумним, тому єдиною відповіддю, яку ви отримуєте, є вихід whoami.

Цей прийом має перевагу, що дозволяє запускати програми через sudo over ssh, які самі потребують введення stdin. Це тому, що sudo споживає пароль через перший рядок stdin, а потім дозволяє будь-якій програмі, яку він запускає, продовжувати захоплювати stdin.

Приклад 2 - Віддалена команда, яка потребує власного stdin

У наступному прикладі віддалена команда "кішка" виконується через sudo, і ми надаємо кілька додаткових рядків через stdin для відображення віддаленої кішки.

$ ssh user@server cat \| sudo --prompt="" -S -- "cat" << EOF
> <remote_sudo_password>
> Extra line1
> Extra line2
> EOF
Extra line1
Extra line2

Вихідний сигнал демонструє, що <remote_sudo_password>лінія використовує sudo, а потім віддалений виконаний кіт демонструє додаткові лінії.

Приклад, де це було б корисно, якщо ви хочете використовувати ssh для передачі пароля привілейованій команді без використання командного рядка. Скажіть, якщо ви хочете встановити віддалений зашифрований контейнер над ssh.

Приклад 3 - Монтаж віддаленого контейнера VeraCrypt

У цьому прикладі сценарію ми віддалено монтуємо контейнер VeraCrypt через sudo без зайвого тексту-підказки:

#!/bin/sh
ssh user@server cat \| sudo --prompt="" -S -- "veracrypt --non-interactive --stdin --keyfiles=/path/to/test.key /path/to/test.img /mnt/mountpoint" << EOF
SudoPassword
VeraCryptContainerPassword
EOF

Слід зазначити, що у всіх наведених вище прикладах командного рядка (у всіх, крім скрипту) << EOFконструкція в командному рядку призведе до того, що все, що введено, включаючи пароль, буде записано в .bash_history локальної машини. Тому настійно рекомендується, щоб у реальному використанні ви або використовували це робити цілком через сценарій, як, наприклад, приклад veracrypt вище, або, якщо в командному рядку потім введіть пароль у файл і перенаправляєте цей файл через ssh.

Приклад 1a - Приклад 1 без локального пароля командного рядка

Таким чином, першим прикладом стане:

$ cat text_file_with_sudo_password | ssh user@server cat \| sudo --prompt="" -S -- whoami
root

Приклад 2а - Приклад 2 Без локального пароля командного рядка

а другим прикладом стане:

$ cat text_file_with_sudo_password - << EOF | ssh va1der.net cat \| sudo --prompt="" -S -- cat
> Extra line1
> Extra line2
> EOF
Extra line1
Extra line2

Введення пароля в окремий файл непотрібне, якщо ви вкладаєте все в сценарій, оскільки вміст сценаріїв не закінчується вашою історією. Це все ще може бути корисним, якщо ви хочете дозволити користувачам, які не бачать пароль, виконувати сценарій.

Найкращий спосіб ssh -t user@server "sudo <scriptname>", наприклад ssh -t user@server "sudo reboot". Він запропонує ввести пароль спочатку користувачеві, а потім root (оскільки ми виконуємо сценарій або команду з root правами.

Я сподіваюся, що це допомогло та очистило ваші сумніви.

NOPASSу конфігурації на вашій цільовій машині є рішення. Продовжуйте читати за адресою http://maestric.com/doc/unix/ubuntu_sudo_without_password

echo $VAR_REMOTEROOTPASS | ssh -tt -i $PATH_TO_KEY/id_mykey $VAR_REMOTEUSER@$varRemoteHost 
echo \"$varCommand\" | sudo bash

Я зіткнувся з проблемою,

user1@server1$ ssh -q user1@server2 sudo -u user2 rm -f /some/file/location.txt

Output:
sudo: no tty present and no askpass program specified

Потім я спробував

#1
vim /etc/sudoers
Defaults:user1    !requiretty

не працювало

#2
user1   ALL=(user2)         NOPASSWD: ALL

що працювало належним чином!

Залежно від вашого використання, я мав успіх у наступному:

ssh root@server "script"

Після цього буде введено кореневий пароль, а потім виконано команду правильно.